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нано 


Если ты читаешь эти строки, значит, конец света 

не наступил. Один не обрушил свой молот на наш мир, 
мертвые не встали из могил, а пришельцы не спустились 
с марса в металлических цилиндрах и не стали жечь 
англичан своими тепловыми лучами. Ну что же, очередное 
пророчество не сбылось. Хотя почему я так уверен в этом? 
Может быть, на марсе открылся-таки портал, оттуда 

в наш мир действительно проникли кибердемоны, 

а ты, уважаемый читатель, сжимая в одной руке этот 
закопченный номер Спеца, а в другой — плазмаган, 
препятствуешь возникновению hell on Earth? Очень 
вероятно! Ну, ничего. Я думаю, после войны все вернется 
на круги своя. Помнишь, как оно было? Хорошая ведь 
была профессия — админ. Сидел этот человек на службе 
в одной конторе, по своему обыкновению ничего не делая. 
Жег комменты в разных блогах, знакомился по irc, 
получал денежки, параллельно админя другие конторы 
удаленным образом. Одновременно ухитрялся учиться 

в универе на бюджетной основе, заниматься фитнессом 
(а может, отращивать пивное брюхо — не суть важно) 

и ездить в Сочи пять раз в год. Красивая у админов была 
жизнь до войны! Как цари они жили, достойно занимая 
свои четырехколесные офисные троны. Так вот. Я уверен, 
что скоро все наладится. Красная Армия победит 
пришельцев, настанет эра милосердия, и воцарится мир 
во всем мире, и люди станут добрее друг к другу, появится 
порядок, а админы снова займут свое законное место 

под солнцем. Поэтому спрячь этот номер поглубже 

за бронепластины своего боевого скафандра, он тебе 
еще пригодится! Я думаю, немного Спецов выживет 

в ядерном пепле, а ведь из него ты сможешь узнать: 

и как сделать супер-непробиваемый хостинг и почтовый 
сервер, и, вообще, защитить свою корпоративную машину 
по полной программе. А если на развалинах городов 

ты найдешь хоть какое-то оборудование от CISCO — 
вперед, есть у нас и про это раздел! 
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timeline 


1976 


Термин «Ethernet» впервые был BBe- 
ден Робертом Меткалфом в статье 
«Ethernet: технология распределен- 
ной коммутации пакетов для локаль- 
ных вычислительных сетей». Этому 
предшествовали многочисленные 
эксперименты в исследовательском 
центре Хегох в Пало Альто, где была 
построена экспериментальная сеть 
со скоростью передачи 2,94 Мбит/с — 
прообраз Ethernet. 


1988 


Совместно Microsoft и Sybase разра- 
ботали первую версию СУБД М$ 
SQL Server для платформы OS/2. 
В начале 90-х Microsoft разработала 
новую версию продукта, но уже для 
платформы Windows МТ. В 1992 году 
были выпущены Windows МТ 3.1 
и SQL Server 4.2 для МТ, ав 1994 го- 
ду партнерство Microsoft и Sybase 
было формально прекращено. В 1995 
году была выпущена следующая вер- 
сия 6.0, однако, начиная с версии 4.2, 
продукт работает исключительно на 
платформе Windows. 


1991 


Операционная система Linux была 
разработана любителем Линусом 
Торвальдсом, он написал ее в каче- 
стве дипломного проекта. В 1994 го- 
ду она уже была выпущена офици- 
ально. С тех пор она поддерживает- 
ся, развивается и дополняется сот- 
нями тысяч таких же энтузиастов из 
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разных стран мира. Трудно предста- 
вить себе начинающего пользовате- 
ля, который выбрал бы именно Linux 
для своей персоналки. Но если ты 
собираешься работать администра- 
тором локальной сети, то знаком- 
ство с Linux обеспечено тебе в лю- 
бом случае. 
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1986 


Первый модульный многопротоколь- 
ный маршрутизатор Cisco Advanced 
Gateway Server (AGS) позволил сое- 
динить устройства с различными ин- 
терфейсами с помощью протокола 
IP. Устройство содержало оператив- 
ную память емкостью 1 Мбайт, могло 
обрабатывать 200 пакетов в секунду, 
поддерживало соединения Ethernet, 
последовательные линии и АВРА- 
МЕТ. Тогда же Cisco создает ОС, 
позднее названную Cisco IOS. 
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1995 


Майкрософт представила первую 
версию IIS (Internet Information Server) 
в составе Windows МТ 3.51, — набор 
серверов для сетевых служб. Основ- 
ной компонент IIS — веб-сервер, под- 
держивающий протоколы НТТР и HTTPS. 
Кроме того, IIS содержит службы, 
необходимые для доступа к файлам 
по протоколу ЕТР, для отправки 
электронной почты по протоколу 
SMTP, а также для предоставления 
доступа к группам новостей по про- 
токолу ММТР. 


2003 


В последней версии IIS 6.0 (доступ- 
ной в составе систем Windows 
Server 2003) служба WWW претер- 
пела серьезные изменения. Был до- 
бавлен новый режим обработки зап- 
росов, называемый режимом изоля- 
ции рабочих процессов (worker 
process isolation mode). В этом режи- 
ме все веб-приложения, обслужива- 
емые сервером, работают в разных 
процессах, что повышает стабиль- 
ность и безопасность системы. Кро- 
ме того, для приема запросов НТТР 
был создан новый драйвер http.sys, 
который работает в режиме ядра, 
что ускоряет обработку каждого 
запроса. 


2005 


Microsoft выпустила новую версию 
корпоративной СУБД — SQL Server 
2005, под кодовым названием Yukon. 
Выход системы задерживался нес- 
колько раз из-за недоработок в систе- 
ме безопасности. Вместе с SQL Ser- 
ver Microsoft выпустила среду разра- 
ботки Visual Studio 2005. 
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1996 


Вышедшая OS/2 Merlin 4.0 стала 
последней... IBM и Microsoft разош- 
лись в разные стороны. Microsoft 
быстро переделала свою версию 
OS/2 в Windows МТ, а сама OS/2 oc- 
талась на попечении IBM, которая, 
к сожалению, не уделила этой ОС 
должного внимания. Хотя задумка 
была в том, чтобы параллельно с со- 
вершенствованием Windows вести 
активную работу по созданию более 
совершенной и защищенной систе- 
мы. Тем более, что нестабильность 
Windows не была секретом ни для 
кого, в том числе и для разработчи- 
ков Microsoft. 
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в разделе: 
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служба 


Почтовый сервер Exchange является стандартом 
де-факто среди почтовиков, работающих на плат- 
форме Windows. Поэтому мы постараемся подроб- 
но рассмотреть организацию безопасного удален- 
ного доступа пользователей к почтовой базе 
Ехспапде-сервера. 

> технологии удаленного доступа. Существует 
несколько способов организации удаленного до- 
ступа к данным Exchange. Мы рассмотрим два из 
них. Многие знают о способе, именуемом OWA 
(Outlook Web Access). Для этого на стороне клиен- 
та необходимо иметь лишь веб-браузер. Но не все 


ИНТИМНЫЕ ПОДРОБНОСТИ ИЗ ЖИЗНИ М$ ЕХСНАМСЕ 


ИНТЕРЕСНО, КОМУ НЕ НУЖЕН ДОСТУП ИЗВНЕ К КОРПОРАТИВНОЙ ПОЧТЕ? ДУМАЮ, 
ТОЛЬКО ТЕМ, КТО НИКОГДА НЕ БОЛЕЕТ, НИКОГДА НЕ БЫВАЕТ В КОМАНДИРОВКАХ 
И ПРИ ЭТОМ ЛЮБИТ СВОЮ РАБОТУ ТАК, ЧТО НЕ ПОЗВОЛЯЕТ СЕБЕ ДАЖЕ ИЗРЕДКА 


ВЗЯТЬ ОТГУЛ НА ДЕНЕК. ПОСЛЕДНИЕ ИССЛЕДОВАНИЯ ПОКАЗЫВАЮТ, ЧТО 
СРЕДНЕСТАТИСТИЧЕСКИЙ РАБОТНИК КОМПАНИИ ТРАТИТ ДО 80% РАБОЧЕГО 
ВРЕМЕНИ НА КОММУНИКАЦИИ, ЛЬВИНАЯ ДОЛЯ ИЗ КОТОРОГО ПРИХОДИТСЯ 


НА ОБЩЕНИЕ ПО ЭЛЕКТРОННОЙ ПОЧТЕ 


АНДРЕЙ СЕМЕНЮЧЕНКО 
{semuha@rbcmail.ru} 


знают, что с появлением Microsoft Outlook 2003 и 
Microsoft Exchange 2003 появилась новая возмож- 
ность удаленного доступа к корпоративной почте. 
При данном подходе Outlook оборачивает вызов 
удаленных процедур ВРС в пакеты транспорта 
НТТР и передает данные в виде веб-трафика 
Ехспапде-серверу. У обоих способов есть свои 
преимущества, как, впрочем, и недостатки. 


> OWA vs. RPC через hitp. Microsoft Outlook 
Web Access (OWA) — это плотно интегрированный 
компонент Exchange-ceppepa. Архитектура OWA 
сильно изменилась с первого появления этой тех- 
нологии удаленного доступа в MS Exchange 5.0. 
Раньше OWA был фактически частью веб-сервера 
Microsoft IIS. Поскольку для взаимодействия 
с Exchange OWA версии 5.x должен был использо- 


Зсегииаззецен 
tiglicl 
асе боншаа 
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SSL to external interface 
of ISA firewall 


Outlook 2003 


Front-end Exchange 
Server or IIS RPS 


over HTTP Proxy 
LDAP Protocol 


Схема взаимодействия внешнего клиента 
с корпоративными серверами 


вать Active Server Pages (ASP) и внутри них запу- 
скать сессии МАР!. С появлением Exchange 2000 
для OWA больше нет необходимости взаимодей- 
ствовать через ASP и MAPI. Вместо этого клиент 
по-прежнему использует НТТР; однако теперь 
OWA встроен в систему Microsoft Web Storage 
и использует IIS только для получения запросов 
и передачи их системе Web Storage. Таким обра- 
зом, !5-сервер обрабатывает входящие от веб- 
браузеров И#р-запросы и отправляет http-oTBeTbI! 
от Exchange 2000 или OWA. Если сервер локально 
содержит базу данных Exchange 2000, OWA непо- 
средственно обращается к почтовому хранилищу. 
Если сервер является внешним front-end сервером 
(при использовании архитектуры с front-end 
и back-end серверами), Outlook Web Access пере- 


Определение роли сервера 


SSL between internal interface of ISA 
firewall and Front-end Exchange 
Server 


IP Sectransport mode between front- 
end Exchange Server back-end 
Exchange Server 


Back-end 
Exchange Server 


направляет запрос внутреннему back-end серверу, 
также используя НТТР. 

Данный метод доступа давно используется 
многими организациями, поскольку технология 
стала доступна еще с появлением Microsoft 
Exchange 2000. Она довольно легко реализует- 
ся на корпоративном уровне и не требует уста- 
новки Outlook на стороне клиента. Основной 
минус данного подхода — ограничение функ- 
циональности по сравнению с полноценным 
Outlook-knueHTom. 
> RPC через Вр. Данный способ наконец-то 
позволяет использовать все вкусности Outlook — 
от настройки правил до проверки орфографии, но 
при этом требует больших временных и админи- 
стративных ресурсов для развертывания нужной 
архитектуры. Также существует строгое ограниче- 
ние на используемое программное обеспечение. 
Итак, необходима обязательная установка: 


“~ MICROSOFT WINDOWS ХР $Р1 
HA СТОРОНЕ КЛИЕНТА; 


“~ MICROSOFT OUTLOOK 2003 
НА СТОРОНЕ КЛИЕНТА; 


“ MICROSOFT WINDOWS 2003 
НА ВНУТРЕННИХ И ВНЕШНИХ (FRONT- 
ЕМО, ВАСК-ЕМО) СЕРВЕРАХ, 
А ТАКЖЕ НА КОНТРОЛЛЕРЕ ДОМЕНА, 


ИМЕЮЩЕГО СТАТУС СЕРВЕРА 
ГЛОБАЛЬНОГО КАТАЛОГА; 


— MICROSOFT EXCHANGE 2003 
В КАЧЕСТВЕ ПОЧТОВОГО СЕРВЕРА; 


— MICROSOFT IIS 6.0, РАБОТАЮЩЕГО 
В РЕЖИМЕ WORKER PROCESS 
ISOLATION MODE HA FRONT-END 
CEPBEPE. 


> front-end и back-end. Для организации уда- 
ленного доступа к Exchange-cepBepy через веб- 
браузер обычно устанавливаются и настраивают- 
ся дополнительные Ехспапде-серверы, называ- 
емые внешними или front-end серверами. Их отли- 
чием от внутренних (back-end) серверов является 
полное отсутствие почтовых ящиков пользовате- 
лей. Front-end серверы используются для упроще- 
ния доступа пользователей к своей почте. При 
этом обеспечивается не только единообразный 
вид вводимого пользователями URL, но и незави- 
симость от внутренних манипуляций почтового 
администратора. Так, например, при переносе ча- 
сти почтовых ящиков с одного почтового сервера 
на другой, для конечных пользователей ничего не 
изменится, поскольку запрос пользователя спер- 
ва попадает на внешний сервер. Далее front-end 
сервер перенаправляет запрос серверу глобаль- 
ного каталога для выяснения, на каком из вну- 
тренних Ехспапде-серверов расположены почто- 
вые ящики требуемых пользователей. И лишь по- 
сле этого внешний сервер устанавливает НТТР- 
DAV соединение для нужного почтового сервера. 
Таким образом, все взаимодействия между кли- 
ентом и конечным сервером осуществляются че- 
pes front-end сервер. На рисунке изображена схе- 
ма взаимодействия пользователей с корпоратив- 
ными почтовыми серверами при использовании 
технологии OWA. 

Кроме того, внешние серверы могут исполь- 
зоваться для выравнивания нагрузки, что бывает 
очень актуально при большом числе одновремен- 
но подключающихся пользователей. Правда при 
этом возникает проблема распределения клиент- 
ских запросов по разным front-end серверам. Pe- 
шить ее можно путем настройки на DNS-cepBepe 
технологии Round Robin или же, что тоже эффек- 
тивно, включением службы балансировки Win- 
dows (Load Balancing Service, WLBS). 

Организовать front-end сервер довольно 
просто. Для этого лишь нужно запустить консоль 
управления (MMC) и открыть оснастку Exchange 
System Manager, где в свойствах выбранного 
Ехспапде-сервера нужно указать использование 
данного сервера в качестве внешнего (This is 
front-end server). 
> — аутентификация и шифрование трафика в OWA. 
По умолчанию Outlook Web Access сконфигуриро- 
ван на разрешение доступа к почтовым ящикам 
пользователей. Однако можно перенастроить сер- 
вер таким образом, чтобы он предоставлял опре- 


деленный доступ для HTTP/WebDAV-knueuTos. 
Можно определить следующие опции: 


™ КАКИМ ПОЛЬЗОВАТЕЛЯМ РАЗРЕШЕН 
ДОСТУП К СЕРВЕРУ ЧЕРЕЗ 
ВЕБ-БРАУЗЕР; 


“ КАКИЕ МЕТОДЫ 
АУТЕНТИФИКАЦИИ РАЗРЕШИТЬ; 


™ КАКИЕ ОБЩИЕ ПАПКИ БУДУТ 
ДОСТУПНЫ ПОЛЬЗОВАТЕЛЯМ; 


— НАСТРАИВАЕТСЯ ЭТО ДОВОЛЬНО 
ПРОСТО — В EXCHANGE SYSTEM 
MANAGER, КОТОРЫЙ ЗАПУСКАЕТСЯ 
ИЗ КОНСОЛИ АДМИНИСТРИРОВАНИЯ 
(ММС). 


Со стороны пользователей OWA различают два 
вида аутентификации: явную и сквозную. Как сле- 
дует из названия, явная аутентификация требует 
ввода учетной записи пользователя и имя нужно- 
го Ехспапде-сервера в строке запроса веб-браузе- 
ра. Таким образом, URL может выглядеть следую- 
щим образом: https://mycorp.com/exchange2/VasyaPupkin/, 
Косвенная аутентификация более удобна для 
пользователей, поскольку не требует ни ввода 
учетных данных, ни даже имени сервера, ведь за- 
прос сначала попадает на внешний сервер, и тот 
уже заботится о попадании заявки в нужные ин- 
станции. Но при этом нужно учитывать возмож- 
ность снижения производительности из-за допол- 
нительной аутентификации на внешнем сервере. 

С точки зрения внутренней корпоративной 
П-инфраструктуры различают сквозную и двойную 
аутентификации. В первом случае внешний сервер 
просто пересылает запрос внутреннему серверу 
для аутентификации. Во втором — опознание поль- 
зователя производится как на внешнем, так и на вну- 
треннем серверах. Этот способ более надежен. 

Таким образом, при сочетании сквозной ау- 
тентификации пользователей с двойной внутрен- 
ней аутентификацией достигается максимальная 
надежность и простота вводимого запроса. 
>» = организуем VPN. Для обеспечения еще боль- 
шей надежности и шифрования передаваемого 
трафика часто применяется туннелирование. В этом 
случае сначала устанавливается защищенное сое- 
динение с конечным сервером предприятия, а уже 
после этого пользователь может вводить URL поч- 
тового сервера в окно браузера. Самым безопас- 
ным способом является вариант с использованием 
сертификатов, размещенных на смарт-картах, ког- 
да клиенту даже нет необходимости вводить па- 
роль к его учетной записи. Создание туннеля обес- 
печивается штатными средствами Windows Server 
с использованием протоколов PPTP/L2TP. 

Для настройки УРМ-сервера сперва необхо- 
димо поднять Routing And Remote Ассез$-сервис. 
В Windows Server 2003 это делается с помощью 
утилиты Manage Your Server путем присвоения со- 


Manage Your Server 


Server: 51 


Search Help and Sup 


Tools and Updates 


Administrative Tools 


Managing Your Server Roles 


Use the tools and information Found here to add or remove roles 
and perform your dally administrative tacks, ыы 


Configure Your Server Wizard = 
edit Bead Routing and Remote Access Server Setup Wizard 
The Conf 
Configuration 


‘You can enable ary of the following combinations of services, of you can 
customize this server, 


Contigurir 


в 
Allow remote chents to connect to this server through either а Нур connection or a 
secure Virtual Private Network (VPN) Internet connection. 

 Netwoik address translation (NAT) 

Allow intemal clients to connect to the Intemet using one public IP address. 

Virtual Private Network (VPN) access and NAT 
Allow remote cSents to connect to this server through the Intamet and local clients to 
Connect to the Intemet using а single public IP address, 

С Secure connection belween two private networks 
Connect this network to а remote network, such as а branch olfice. 

© Custom configuration 

Select any combination of the features available in Routing and Remote Access. 


Internet 


torer 


an 


Tabegic Technology Protection 
ogram 


For more information about these options, see Rouling and Remote Access Help. 


раке [meas] __coneat_| 


Настройка VPN с помощью RRAS Setup Wizard 


New Remote Access Policy Wizard 


Policy Encryption Level 
You can select the levels of encryption that this profile supports. 


ответствующей роли серверу: выбираем пункт Add 
or Remove Role, затем выбираем Remote Ac- 
cess/VPN Server, жмем Next, опять отмечаем гал- 
кой \/РМ Зегуег и, снова нажав Меж, проходим до 
конца. Далее нужно выбрать протоколы аутенти- 
фикации/шифрования данных. Это можно сделать 
при настройке политики удаленного доступа, запу- 
стив New Remote Access Policy. По умолчанию 
в качестве протокола аутентификации использу- 
ется MS-CHAP v.2, но его можно изменить и при 
желании использовать, например, EAP-TLS для 
аутентификации, основанной на сертификатах. 
При использовании шифрования передаваемых 
данных на протоколах L2TP поверх IPSec в соеди- 
нениях VPN, на УР№М-сервере, также как и на кли- 
ентском компьютере, должен быть установлен ци- 
фровой сертификат. 

Для выписки сертификата можно воспользо- 
ваться либо платной услугой сторонних сертифи- 
кационных центров, либо установить собственный 
центр сертификатов CA (Certificate Authority). По- 
сле соответствующей настройки СА-сертификат 
можно выписать с помощью процедуры автореги- 
страции сертификатов. Для этого запускаем Admi- 
nistrative Tools и кликаем по ярлыку Active Directo- 
ry Users and Computers. Затем раскрываем свой- 


О ve mare sae enum нь 
you selected are supported by that software, 

Г. Basic споурбол [IPSec 56-ba DES сх MPPE 40454] 

T Strong enctyption (IPSec 56 DES or MPPE 56-bit) 

№ Strongest enciyption @Р5ес Triple DES се МРРЕ 128-54] 


Выбор уровня шифрования 


Authentication Methods 


Use the following Windows user account for anonymous access: 
User name: [IUSRLSERVERIOI Browse,,. | 
Password: [seecceeeee 


ства домена и выбираем вкладку групповой поли- Г Authenticated access 

тики Group Policy tab, выбираем Default Domain Po- RG ee жен 
licy, а затем нажимаем Edit. В консоли групповой ет пеной а 
политики раскрываем объект Computer Configura- Розы а 

: , . : ‘ated Windows ал 

tion, затем Windows Settings, затем Security Set- Ро о servers 

tings, и, наконец, Public Key Policies. Щелкаем пра- Г Basic authentication (password is sent in dear text). 


вой кнопкой по пункту Automatic Certificate Request 
Settings, выбираем New, а затем Automatic Certifi- 
cate Request. Если мы все сделали правильно, 


Г. .NET Passport authentication 


Defeut oman: Галли sect. | 
Er 


iN Cancel | Help | 


Настройка аутентификации в IIS 
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File dt View Favorites Tools Нар 


оо вас р 


@ htt 


(@ Deleted Items (3) 
Ua crafts 

9 Cy Я 

8 А Journal 
Са Junk E-mail 
|.) Notes 

a (39 Outbox 
| PocketMirror 
(Dy Quarantine 

& (53 Sent tems 
A Tasks 

Э (4 Search Folders 

(24 For Follow Up 


Comenittee meetings 


{3 DART Survey 


(2) Eltott, Robin 
RE: May event at Dol TEch 
EQ Etiott, Robin 
RE: May event at Del TEch 
(2 Beth Miller 
Regularly Scheduled Oat release 4356 
(2 Eliott, Robin 
RE: Safety Council of Maryland Website Link 


Сфелов, Robin 


ЕфЕ№ОЦ, Robin 
FW: May event at Del TEch 


СЕВ, Robin 


RE: Annual Academic and Administrative report Forms 


(2 Coffin, Marie 


RE: Chemical page 
danielle 


Safety Counct of Maryland Website Link 


Так выглядит Outlook Web Access в окне IE 


должен запуститься мастер Automatic Certificate 
Request Setup Wizard. Выполняем простые шаги по 
запросу сертификата от сертификационного цен- 
тра и заканчиваем работу мастера. После этого 
можно закрыть консоль групповой политики. Для 
немедленного применения групповой политики 
следует выполнить следующую команду: secedit 
/refreshpolicy machine_policy. 

+> — новая технология RPC через HTTP. В прин- 
ципе, в Outlook’e всегда существовала возмож- 
ность использования удаленных процедур ВРС 
для обработки вызовов МАР! и удаленного досту- 
па к Exchange. Но, из-за огромного количества об- 
наруженных ранее дыр в безопасности RPC, сей- 
час практически невозможно подключиться к сер- 
веру с использованием данной службы. Это об- 
условлено тем, что администраторы просто блоки- 
руют стандартные порты ВРС (135, 137, 139, 445) 
правилами брэндмауэров. 

На помощь пришла новая технология Micro- 
soft — RPC через HTTP. Вызовы RPC оборачивают- 
ся в пакеты http и отправляются почтовому серверу. 
На самом деле, архитектура RPC over http напоми- 
нает технологию OWA при использовании схемы с 
front-end и back-end серверами. Поэтому процедура 
соединения вторит рассмотренной ранее для OWA: 
ргоху-сервер, принимая запрос от клиентского при- 
ложения, отправляет LDAP-3anpoc серверу GC 
и, получив информацию о местонахождении почто- 
вого ящика клиента, осуществляет роль посредни- 
ка между конечным сервером и клиентом. 

3» настройка серверов на работу с RPC через 
НТТР. Таким образом, пакеты сперва попадают 
внешнему серверу, называемому внешним ргоху- 
сервером. Причем нет никакой необходимости 
устанавливать на этом ргоху-сервере Exchange- 


ВЕ: Anewsal Academic and Administrative report forms 


Received / 
|0 
Thu 5/6/2004 10:29 АМ 


Wed S/S/2004 8:39 РМ 
Wed 5/5/2004 3:58 РМ 


Participate in transit survey and be elgble to win a D¥D player 


Wed 5/5/2004 3:35 РМ 
Wed 5/5/2004 3:16 PM 
Wed 5/5/2004 3:13 PM 
Wed 55/2004 2:47 РМ 


Wed 5/5/2004 2:43 PM 
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Wed 5/5/2004 2:19 РМ 
Wed S/S/2004 1:59 РМ 
Wed 5/5/2004 1:52 PM 
Wed 5/5/2004 1:51 PM 


Wed 5/5/2004 12:04 PM 


сервер: достаточно лишь задействовать фильтр 
ISAPI в IIS 6.0, который входит в состав дистрибу- 
тива Windows 2003 Server. Не забудем также уста- 
новить службу RPC over HTTP. Для этого идем 
в Add/Remove Programs, затем Add/Remove Win- 
dows Components и раскрываем детали Network 
Services. В появившемся окне отмечаем для уста- 
новки службу RPC over HTTP. 

Следующим шагом конфигурирования явля- 
ется настройка виртуального каталога и определе- 
ние методов аутентификации пользователей. Для 
этого запускаем менеджер IIS из консоли ММС. Pa- 
скрываем нужный нам сервер, которым является 
локальный компьютер, и находим виртуальную ди- 
ректорию RPC (RPC Virtual Directory). Открываем 
свойства объекта. На вкладке Directory Security вы- 
бираем нужный режим аутентификации: либо Win- 
dows Authentication, либо Basic Authentication, если 
используется SSL. Не забываем отключить anony- 
mous login. К сожалению, RPC через HTTP в каче- 
стве \\//паом/$-аутентификации пока поддерживает 
только NTLM и не поддерживает Kerberos. Будем 
надеяться, что Microsoft добавит эту функциональ- 
ность в следующих версиях задействованного ПО. 

Кстати, замечание: если между Outlook-Knu- 
ентом и ВРС-прокси установлен файрвол или http- 
прокси, NTLM аутентификация работать не будет. 
Единственным выходом в этой ситуации остается 
использование разс-метода. 
> разрешение портов. Теперь, для сообщения 
нашему прокси-серверу нового статуса, нужно 
внести некоторые изменения в системный реестр. 
Дело в том, что прокси-сервер ВРС должен ис- 
пользовать определенные порты для обмена дан- 
ными со службой каталога Active Directory и с ин- 
формационным хранилищем на сервере Exchan- 


ge. Ехспапде-сервер по умолчанию использует 
порты 6001, 6002 и 6004 для доступа к своему хра- 
нилищу. Поэтому на прокси-сервере с установлен- 
ным IIS нужно разрешить использование этих пор- 
тов. Для этого запускаем regedit.exe и создаем па- 
раметр ValidPorts типа REG_SZ и значением Ser- 
verNETBIOSName:6001 -6002;ServerFQDN:6001- 
6002;ServerNetBIOSName:6004;ServerF QDN:6004 
в разделе HKEY_LOCAL_MACHINE\SOFTWA- 
RE\Microsoft\Rpc\RpcProxy. Где ServerNetBIOSNa- 
те — имя используемого NetBlOS-cepBepa, Ser- 
verFQDN — имя используемого сервера. 

На серверах глобального каталога нужно 
также изменить значение реестра и разрешить ис- 
пользование порта 6004 для обращения к службе 
каталогов. Для этого открываем реестр, находим 
подраздел HKEY_LOCAL_MACHINE\SYSTEM\Cur- 
rentControlSet\Services\NTDS\Parameters и созда- 
ем параметр типа Multi-string с именем «NSPI inter- 
face protocol sequences» (без кавычек) и значени- 
ем ncacn_http:6004. Нажимаем ОК и на этом за- 
канчиваем серверную настройку. 
> конфигурирование клиента. При использова- 
нии подхода Outlook Web Access настраивать на CTO- 
роне клиента ничего не нужно. Достаточно лишь за- 
пустить любимый веб-браузер и ввести необходимый 
URL доступа к почтовому или front-end серверу 
в строке запроса. В случае VPN предварительно нуж- 
но будет вставить смарт-карту, содержащую нужный 
сертификат (это может быть изБ-свисток e-token, на- 
поминающий флешку или что-то еще), затем ввести 
пин-код к карте и активизировать \/РМ-соединение. 

При работе с MS Outlook 2003 и использова- 
нии запросов ВРС через НТТР возникает необхо- 
димость правильно настроить почтовый клиент. 
Единственное, что нам нужно знать при настройке — 
это URL внешнего прокси-сервера, настроенного 
на работу с ВРС через НТТР. Итак, для настройки 
Outlook запускаем Custom Installation Wizard на 
странице Specify Exchange Settings. Затем выбира- 
ем опцию с длинным названием Configure settings 
for а new Exchange Server connection or replace the 
settings in an existing Exchange Server connection. 
Если нужно ввести имя нового Ехспапде-сервера, 
вводим имя нужного почтовика. Далее кликаем 
на кнопку More Settings и выбираем чек-бокс 
с именем Connect to Exchange Mailbox using HTTP. 
Вот здесь то и нужно ввести URL для прокси-сер- 
вера RPC over HTTP. Кстати, вводить префикс 
http:// (или https:// при использовании SSL) в нача- 
ле URL не нужно. Нужное значение будет подста- 
влено автоматически в зависимости от настроек 
аутентификации. Поэтому далее выбираем метод 
аутентификации пользователя. По умолчанию ис- 
пользуется МТЕМ-метод, но можно также выбрать 
basic-metog. При втором способе настоятельно ре- 
комендую включить SSL, иначе login и пароль бу- 
дут передаваться в открытом виде. 
> в завершение. Получается, мы легко спра- 
вились с задачей получения доступа к внутрен- 
ним почтовым ящикам извне, при этом надежно 


обезопасив себя OT хакеров и прочих незаконопослушных 
граждан. Правда, в реальных условиях, возможно, еще придет- 
ся поковыряться в таких службах как RRAS, DHCP, DNS, IIS, 
имеющих как прямое, так и косвенное отношение к работе поч- 


товых приложений © 


УСТАНОВКА 
И НАСТРОЙКА 
BACK-END 
CEPBEPA 


Установка back-end сервера сводит- 
ся к установке обычного Exchange- 
сервера. Сначала нужно выполнить 
этапы подготовки Active Direcory, 
а именно — расширить схему служ- 
бы каталогов. Для этого нужно вы- 
полнить последовательно команды, 
предварительно вставив компакт 
с Exchange в CD-ROM: Setup /Forest- 
Prep; Setup /DomainPrep. Перед вы- 
полнением очередной команды 
нужно выждать время для того, что- 
бы данные об обновлении схемы 
успели реплицироваться по всему 
лесу. По умолчанию интервал вну- 
трисайтовой репликации составляет 
5 минут, межсайтовой — 15 минут. 

Поскольку Exchange плотно ис- 
пользует службу имен перед уста- 
новкой сервера, необходимо также 
проверить правильность интеграции 
DNS и службы AD. Для этого можно 
воспользоваться встроенной утили- 
той NLTEST с ключом /DSGETSITE. 
Если сервер сможет обнаружить соб- 
ственное имя сайта Active Directory, 
будут выданы строки вида: 


Default-First-Site-Name 
The command completed 
successfully 


В случае вывода на экран чего-то 
подобного считай, что нам повезло. 
Далее начинается сам про- 
® цесс установки Exchange-cep- 
вера. Вот основные шаги по установ- 
ке: запускаем <CD-ROM>\setup\i386\ 
setup.exe 
о При помощи нажатия кнопки 
Custom можно сделать вы- 
бор тех компонентов, которые тебе 
требуется установить. 
Идем дальше и выбираем 
наш тип лицензии. Нажима- 


ем ОК. Далее помечаем галочкой «| ag- 
гее» и снова жмем ОК. 

Если это первый сервер 
о Exchange, нажимаем «Create 
new site» и указываем название ор- 
ганизации и имя узла. Затем нажи- 
маем ОК. 

Нужно выбрать учетную за- 
о пись администратора Exchan- 
ge. Но имеет смысл создать отдель- 
ную учетную запись для админи- 
стрирования. Новая учетная запись 
должна располагать правами «Log 
оп as а service» и «Restore files and 
directories». Теперь вводим пароль 
для выбранной учетной записи и на- 
жимаем ОК. На этом процесс установ- 
ки Ехспапде-сервера заканчивается. 

При использовании технологии 
ВРС через НТТР, для правильной ком- 
муникации Ехспапде-сервера с внеш- 
ними front-end серверами нужно вне- 
сти изменения в системный реестр 
сервера. Во-первых, необходимо 
определить порт, через который вну- 
тренний сервер устанавливает соеди- 
нения ВРС через НТТР с хранилищем 
Exchange Store. Для этого присваива- 
ем параметру реестра HKEY_LO- 
CAL_MACHINE\SYSTEM\CurrentCon- 
trolSet\ Services\MSExchangelS\Para- 
metersSystem\RPC/HTTP Port значе- 
ние 6001 типа REG_DWORD. 

Затем следует настроить вну- 
тренний сервер для перенаправле- 
ния Directory Service (DS) Referral, 
присвоив параметру реестра HKEY_- 
LOCAL_MACHINE\SYSTEM\Current- 
ControlSet\ Services\MSExchangeSA\- 
Parameters\HTTP Port значение 6002 
типа REG_DWORD. Затем внутрен- 
ний сервер настраивается для до- 
ступа 0$ Ргоху. Для этого параметру 
HKEY_LOCAL_MACHINE\SYSTEM\- 
CurrentControlSet\Services\MSExchan- 
gelS\ParametersSystem\RPC/HTTP 
NSPI Port присваивается значение 
6003 tuna REG_DWORD. Подобные 
изменения должны быть внесены 
на все внутренние сервера Exchan- 
де, которые могут взаимодейство- 
вать с внешними ВРС прокси-сер- 
верами. 
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> построение вертикали. Для централизован- 
ного хранения настроек массивы ISA Server ис- 
пользуют специально обученные Configuration 
Storage Servers, на которых работает служба Ас- 
tive Directory in Application Mode (ADAM). В ISA 
2000 настройки сохранялись в Active Directory, 
и при установке ISA требовалось проводить рас- 
ширение схемы AD. А эта операция необратимая 
(ну, по крайней мере, техническая поддержка 
Microsoft будет на этом настаивать, даже если ты 
по шагам распишешь, с какими параметрами за- 
пускать LDIF) и распространяется на все домены 
леса Active Directory. Учитывая, что леса AD лег- 
ко пересекают океаны и могут содержать инфор- 
мацию подразделений компании, раскиданных 
по всему свету, необходимость расширения схе- 
мы может стать серьезной проблемой. Пред- 
ставь себе, что ты — главный администратор ле- 
ca Active Directory транснациональной корпора- 
ции с центром во Владивостоке. И в один пре- 
красный день к тебе приходит запрос из всеми 
забытого отделения в штате Калифорния на рас- 
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ширение схемы в связи с необходимостью вне- 
дрения в качестве корпоративного межсетевого 
экрана ISA Server. Необходимость использова- 
ния именно ISA обусловлена пактом Билла- 
Шварца, имеющего статус закона штата. И без 
массива не обойтись — в этом мелком подразде- 
лении работает пять тысяч пользователей, так 
что необходима балансировка нагрузки и повы- 
шенная отказоустойчивость. Что делать? Вво- 
дить необратимые изменения в структуру AD из- 
за странных местных законов? 

Служба ADAM хранит в себе дополнитель- 
ные свойства и объекты AD. Серверы общаются с 
ней через привычный LDAP. В одной сети, да и на 
одной машине, может существовать множество 
служб ADAM, реализующих расширения для раз- 
ных приложений, например ISA и Exchange, кото- 
рые живут в рамках конкретного экземпляра 


ADAM, не затрагивая «большую» AD. Но He беспо- 
койся, тебе не придется заводить для каждого сер- 
вера ISA в массиве отдельный сервер хранения 
настроек. Можно обойтись только одним сервером 
Configuration Storage для массива (что не рекомен- 
дуется, поскольку возникает единая точка отказа) 
либо установить экземпляры ADAM на контролле- 
ры домена или сами серверы ISA. 

В случае если Configuration Storage Servers 
устанавливается на ISA Server, перед установкой 
других серверов в массиве необходимо разре- 
шить им доступ к службе LDAP, что можно сделать 
путем редактирования системной политики. 

После установки дополнительных серверов 
массива желательно проверить корректность ра- 
боты серверов массива через закладку Monitoring. 
> круговая порука. Самый простой метод ра- 
спределения нагрузки между несколькими серве- 


рами, выполняющими одинаковые функции, 
DNS Round Robin. Суть этого метода крайне проста. 
На DNS сервере создаются две или более 
записи типа А, указывающие на одно и тоже имя. 
Клиенты, посылающие запрос на разрешение име- 
ни, будут получать все адреса, однако порядок 
их следования в ответе будет меняться. В результа- 
Te, при обращении к одному FQDN, разные клиенты 
или один клиент в различные моменты времени) 
будут использовать различные IP-agpeca. То есть 
фактически подключаться к разным серверам. 
Огромным преимуществом DNS Round Robin 
является простота развертывания и использова- 
ния. Недостатком же является отсутствие меха- 
низмов определения отказа узла. То есть в случае 
выхода из строя одного из серверов, клиенты все 
равно будут пытаться соединиться с ним до исте- 
чения времени жизни записи в кэше клиента DNS. 
И только вмешательство администратора, удалив- 


as 


ступности узла и автоматического удаления его 
из DNS при недоступности, однако в этой ситуации 
возникает вопрос доступности той машины, на ко- 
торой запущена контролирующая программа. 
Пример простого сценария, проверяющего до- 
ступность указанного сервера, и, в случае отсутствия 
отклика, удаляющего его из зоны ОМ№$-сервера: 


abl 


Сценарий может запускаться как Ha сервере DNS, 


softDNS_Server.Name. Ну и, естественно, учетная 
запись, по которой работает сценарий, должна 
иметь права на управление сервером DNS (по умол- 
чанию — Administrators). 

По умолчанию поддержка Round Robin вклю- 
чена в Microsoft DNS Server, но может быть отклю- 
чена путем модификации параметров реестра 
HKLM\System\CurrentControlSet\Services\DNS\Para- 
meters\ RoundRobin и HKLM\System\CurrentControl- 
Set\Services\DNS\Parameters\ DoNotRoundRobinTy- 
pes. Первый из них включает или отключает под- 
держку технологии для всего сервера, а второй 
позволяет отключить балансировку для некоторых 
типов записей, например SRV, чтобы Round Robin 
не мешал серверу DNS выдавать клиентам адрес 
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Настройка NLB в ISA 


«ближайшего» к ним котроллера домена. Техно- 
логия Round Robin может с одинаковым успехом 
использоваться как для распределения обраще- 
ний внутренних пользователей к межсетевому 
экрану, так и для балансировки нагрузки внешних 
запросов или подключений через УРМ. 

> балансировка сетевой нагрузки. Служба, ре- 
ализующая технологию Network Load Balancing 
(NLB), входит в стандартную поставку Windows Ser- 
ver и используется для повышения доступности 
и производительности группы серверов. По идее 
технология чем-то напоминает объединение же- 
стких дисков в массивы RAID, но вместо винчесте- 
ров здесь используются несколько серверов, вы- 
полняющих одинаковые функции или содержащие 
одну и ту же информацию. Часто NLB используется 
при построении меб-порталов, но может применят- 
ся и при внедрении ISA. В этом случае NLB может 
повысить уровень обработки запросов внутренних 
и внешних клиентов и уровень доступности VPN. 

В отличие от «настоящего» кластера, где 
для хранения данных приложения используется 
выделенная дисковая стойка, в NLB каждый из 
серверов содержит свою копию данных и на- 
строек, и задача их синхронизации ложится на 
плечи администратора. При использовании ISA 
Server Enterprise Edition эта проблема уже решена, 
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МАС: МАС: 
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поскольку все настройки серверов загружаются 
с Configuration Storage Server. 

В принципе, можно реализовывать баланси- 
ровку нагрузки и на ISA Server Standard Edition, но 
при этом надо будет самому позаботиться о син- 
хронизации настроек (например, через функции 
импорта и экспорта конфигурации). Кроме того, 
в этом случае кластер NLB не будет отслеживать 
корректность работы служб ISA Server, а только 
сетевую доступность узла. 

С точки зрения клиента, МЕВ представляет 
собой сетевой узел с одним IP-agpecom (хотя 
у кластера может быть и несколько разных адре- 
сов в разных сетях или используемых для разных 
служб). Все пакеты, отправленные клиентами, до- 
ставляются каждому узлу кластера МВ, которые 
самостоятельно принимают решение, кто 
из них будет обрабатывать то или иное соединение. 

Все серверы в кластере раз в секунду обме- 
ниваются контрольными Пеайреа!-сообщениями, 
передаваемыми как Еете!-фреймы с типом LLC 
Ox886F. Этот обмен позволяет обнаруживать от- 
ключение серверов или добавление нового узла 
в кластер. Кроме того, обмен сообщениями позво- 
ляет синхронизировать значения приоритета каж- 
Oro из узлов, указываемых администратором. 
Механизм NLB не поддерживает контроль соеди- 
нения, и в случае выхода из строя одного из сер- 
веров кластера, все установленные с ним соеди- 
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нения будут потеряны. Время «схождения» систе- 
мы при добавлении нового члена или удалении 
сервера из кластера — несколько секунд. 

К сожалению, механизм балансировки нагруз- 
ки не учитывает текущую загрузку процесса узлов 
кластера. Соответственно, если в кластер входят 
узлы с различной аппаратной конфигурацией, бо- 
лее мощные должны иметь более высокий прио- 
ритет. Могу порекомендовать выделять для обме- 
на управляющими соединениями отдельный сете- 
вой адаптер, подключенный к специально выде- 
ленному для этих задач коммутатору. 

Распределение нагрузки происходит на осно- 
ве количества запросов в единицу времени. Ис- 
пользуя адрес отправителя и номер порта в каче- 
стве идентификатора, узлы кластера определяют 
узел, который будет обрабатывать тот или иной за- 
прос. В принципе, разные запросы одного клиента 
могут обрабатываться разными узлами кластера, 
что может привести к нежелательным послед- 
ствиям. Чтобы избежать этой ситуации, есть воз- 
можность сконфигурировать правила обработки 
запросов от клиентов, так называемые Affinity. Если 
значение этого параметра равно Single Affinity, 
то все запросы с одного |Р-адреса будут обрабаты- 
ваться одним и тем же узлом кластера. Это позво- 
лит избежать проблем с протоколами, устанавли- 
вающими несколько соединений (например, РРТР, 
который передает управляющую информацию по 
ТСР, а непосредственно данные — с использовани- 
em GRE). Еще один вариант распределения нагруз- 
ки — Class С Affinity, когда одним узлом кластера 
обслуживаются запросы группы узлов, чьи адреса 
принадлежат одной сети с маской 255.255.255.0. 

Рассмотрим подробнее механизм баланси- 
ровки нагрузки. Как уже говорилось, все узлы 
NLB-knactepa используют один и тот же виртуаль- 
ный IP-agpec, по которому происходят обращения 
клиентов. Логично предположить, что все эти ма- 
шины должны быть расположены в одном сегмен- 
те. Соответственно, когда приходит первый пакет 
от клиента на виртуальный адрес кластера, марш- 
рутизатор просматривает свою таблицу АНР, и, не 
обнаружив в ней соответствующего МАС-адреса, 
посылает широковещательный ARP-3anpoc. На 
всех узлах кластера используется не только вирту- 
альный |Р-адрес, но и виртуальный МАС-адрес, 
который они возвращают в ARP-oTBeTe маршрути- 
затору. Однако в заголовках Ethernet ААР-ответа 
указывается совсем другой МАС-адрес отправите- 
ля, уникальный для каждого узла кластера. 

Маршрутизатор заносит МАС-адрес в табли- 
цу ARP и передает пакет коммутатору. Коммутатор 
пересылает пакет на все порты, поскольку в его та- 
блице коммутации нет соответствия между номе- 
ром порта и виртуальным МАС-адресом кластера. 
Все узлы NLB получают пакет, и тот из них, который 
должен обрабатывать пакет, формирует ответ, 
опять-таки указывая в поле «адрес отправителя» 
Ефбегте заголовка свой индивидуальный МАС-ад- 
рес (не только Cain умеет делать ARP-Spoofing). Та- 


Настройка IE через групповые политики 


ким образом, мы держим коммутатор в неведении 
относительно виртуального МАС-адреса кластера, 
заставляя передавать входящие пакеты на все пор- 
ты. Так работает Unicast-pexum кластера NLB. 

Кластер может работать в режиме Multicast, 
когда адаптерам узлов присваивается адрес мно- 
гоадресной рассылки Ethernet, соответствующий 
виртуальному IP-agpecy. Использование Multicast- 
режима предпочтительнее, поскольку он позволя- 
ет узлам взаимодействовать друг с другом без до- 
бавления дополнительного сетевого интерфейса. 
Правда, иногда возникают проблемы с маршрути- 
заторами, которые не добавляют в АНР-таблицу 
соответствие между Multicast-agpecom Ethernet 
и обычным IP-agpecom. В этом случае запись надо 
добавлять вручную. 

Настройка массива NLB в ISA тривиальна — 
через пункт Networks необходимо выбрать Enable 
Load Balancing Integration и указать используемые 
сетевые интерфейсы и их общий адрес. 

Дополнительно надо проверить наличие за- 
писей DNS и Service Principle Name для каждого из 
узлов массива и всего массива в целом. Это 
необходимо для корректной работы аутентифика- 
ции Kerberos между серверами ISA. 

Записи SPN можно зарегистрировать с по- 
мощью утилиты SetSPN из состава ResourcekIT: 


Для изменения свойств кластера (например, изме- 
нения режима работы Ha Multicast) можно восполь- 
зоваться свойствами службы балансировки на- 
грузки в настройках сетевого интерфейса. 
>» — экономим трафик. Если на предприятии ис- 
пользуются в основном клиенты НТТР-Ргоху, 
то есть смысл задействовать механизм Cache Аг- 
ray Routing Protocol (CARP). Эта техника, доступ- 
ная в рамках серверов одного массива, позволяет 
оптимизировать использование кэша серверов. 
Серверы ISA He реплицируют содержимое 
кэша между собой, но вместо этого клиенты и ни- 
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http://www.kernel.org 
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жестоящие серверы выбирают для отправки за- 
проса тот сервер, на котором с большей вероятно- 
стью будет присутствовать уже загруженный 
объект. Для этого клиенты, получив настройки 
массива, периодически отправляют запросы 
на получение текущей конфигурации массива 
(http://array.example.com/array.dll?get.routing.script) | Файл 
содержит информацию об URL (точнее их хэши), 
которые известны различным серверам массива. 
По этой информации браузер определяет, к како- 
му из серверов послать запрос. Если информация 
клиента не актуальна, и запрос пришел не на тот 
сервер, ISA Server перенаправит запрос на другой 
узел массива и вернет полученную из кэша ин- 
формацию клиенту. 

Таким образом, объем кэша массива будет 
равняться суммарному объему всех закэширован- 
ных объектов на каждом из узлов. Это позволяет 
значительно поднять вероятность получения 
объекта из кэша сервера, а не из интернета, и уве- 
личить размер кэша. 
> настройка клиентов. Текущая конфигурация 
массива публикуется либо на внешнем, либо на 
встроенном в ISA меБ-сервере. Во втором случае ISA 
следит за актуальностью информации. При исполь- 
зовании функции публикации средствами ISA могут 
возникать конфликты с установленным на этом же 
компьютере web-cepBepom, поскольку и ISA, и web- 
сервер будут пытаться занять один и тот же порт. 

Информация о массиве представляет собой 
файл, написанный на языке JavaScript, 
содержащий инструкции для браузера, где ука- 
зывается, в каких ситуациях должен использо- 
ваться тот или иной сервер ISA или прямое сое- 
динение. В файлах конфигурации браузера опре- 
делены дополнительные функции и переменные, 
на основании которых браузер принимает реше- 
ние об обращении к ргоху. Основной функцией 
подобного сценария является FindProxyForURL(url, 
host), которой браузер передает имя узла, к KOTO- 
рому обращается, и полный URL. Функция дол- 
жна вернуть либо имя сервера, либо указание 
на прямое соединение. 

Сценарий предписывает использовать ргоху. 
example.com:8080 для соединения со всеми серве- 
рами, за исключением тех, доменные адреса кото- 
рых заканчиваются на .example.com или имеющих 
адрес в сети 10.55.0.0/32: 


www.securitylab.ru 
www.itsecurity.ru 
www.rpmseek.com 


——— 


15а1 


www.microsoft.com 
www.kernel.org 
www.xakep.ru 


Подробнее о создании файлов автоматической 
настройки можно узнать из документа «Navigator 
Proxy Auto-Config File Format», доступного по адре- 
cy http://wp.netscape.com/eng/mozilla/2.0/relnotes/demo/proxy-li- 
ve.html, Если задействована функция публикации 
настроек через ISA Server, то формированием 
файла занимается сервер, в зависимости от теку- 
щего состояния массива. 

Настроить клиента на работу с массивом 
можно двумя способами. Первый: указать URL, 
по которому доступен сценарий автоматической 
конфигурации. Это можно сделать локально, ли- 
бо централизовано, с помощью групповых поли- 
тик. К сожалению, стандартный набор параме- 
тров групповых политик позволяет настраивать 
только Internet Explorer. В случае использования 
других браузеров можно применить альтернатив- 
ные методы настройки. 

Еще один вариант централизованной на- 
стройки Firefox через групповые политики — на- 
бор сценариев FirefoxAdm (http://prdownloads.source- 
forge.net/firefoxadm/) B набор входит администра- 
тивный шаблон, подключаемый к редактору 
групповых политик, и сценарий входа в систему 
(Logon Script), добавляемый в объект групповой 
политики пользователей. Указанные с помощью 


административного шаблона настройки сохраня- 
ются в ключе реестра HKCU\Software\Policies\Fi- 
refox, откуда считываются сценарием входа в си- 
стему и сохраняются в файле конфигурации Fire- 
Рох. Немного сложная схема, но что делать, если 
FireFox сохраняет параметры настройки 
в файлах, а не ключах реестра! 

Можно воспользоваться альтернативным ди- 
стрибутивом FrontMotion Firefox Community Edition 
(www.frontmotion.com/Firefox/fmfirefox.htm), который O6- 
учен читать настройки из реестра. Кроме Toro, ди- 
стрибутив оформлен в виде файла MSI, что позво- 
ляет развертывать его через групповые политики, 
и при установке указывает себя в качестве брау- 
зера «по умолчанию» для ОС. 

Другой метод настройки, поддерживаемый 
многими браузерами, — использование механиз- 
ма полностью автоматической настройки Web 
Proxy Auto-Discovery (WPAD). Настройки WPAD 
могут передаваться клиентам двумя способами: 
через сервер DHCP, либо с помощью системы 
DNS. Если клиент получает IP-agpec с сервера 
ОНСР, то на сервере можно создать дополнитель- 
ную опцию WPAD--, в которой указывается URL 
сценария автоматической настройки. Машина 
пользователя вместе с настройками TCP/IP полу- 
чает URL, к которому обращается браузер для на- 
стройки. Недостатком данного метода является 
необходимость использования ОНСР и возмож- 
ность применения только в рамках одного сегмен- 
та. Если есть необходимость настраивать клиен- 
тов в разных сегментах, лучше воспользоваться 
распространением настроек через службу DNS. 

В этом случае в зоне ОМ$-домена, к которо- 
му принадлежат компьютеры пользователей, соз- 
дается запись CNAME с именем WPAD, например 
WPAD.example.com. Эта запись указывает на ад- 
pec меБ-сервера, на котором опубликован сцена- 
рий автоматической настройки. Браузер клиента 
посылает ОМ$-запрос на разрешение имени 
WPAD.example.com и в ответе получает адрес (или 
адреса, ведь никто не мешает задействовать 
Round Robin) мер-сервера, к которому обращается 
с запросом на получение файла wpad.dat. Файл 
представляет собой уже известный JavaScript, ис- 
пользуемый для определения адресов ргоху. 

Как видишь, вариантов повышения произво- 
дительности и отказоустойчивости ISA Server мно- 
жество. Правильно выбирай, толково настраивай 
и спокойно спи ночами © 


Ел dnsmgmt - [DNS\,DC\Forward Lookup Zones\example.com] 


22, File Action View Window Нар 


+ > хе oe 


il, ONS | example.com § record(s) 
=f oc 
& a Event Viewer z| Start of Authority (SOA) [1], dc.example.com, hostm... 
8 Forward Lookup Zones [Е] (same as parent folder) Name Server (№5) dc.example.com, 
Ga gl isa Host (A) 192.168.0.9 
Reverse Lookup Zones Bisa Host (A) 192,168.0.8 
Ека Host (A) 192.168.0.10 
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REMOTE ASSISTANCE & АМР 
REMOTE DESKTOP 


Версия: нет данных 


Размер: нет данных 
Статус: отдельно не распространяется 


Начнем разговор 

о программных сред- 
ствах удаленного 
администрирования 

с того, что досталось 
нам в комплекте с Win- 
dows ХР Professional. 
С пары приложений — 
«Удаленный помощ- 
ник» (Remote Assistan- 
ce) и «Удаленный pa- 
бочий стол» (Remote 
Desktop), первый из ко- 
торых служит серве- 
ром, а второй, соответ- 
ственно, — клиентом. 
В состав дистрибутива 
они были включены 
якобы для того, чтобы 
более опытные товари- 
щи могли помочь но- 
вичкам настроить си- 
стему, однако сути де- 
ла это не меняет — 
данные средства позво- 
ляют не только настраи- 
вать, но и полностью 
управлять удаленным 
компьютером. Для ак- 
тивации серверной ча- 
сти необходимо зайти 
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повелители 


систе 


SRT 


ах 


в «Службы» («Панель 
управления» -+ «Адми- 
нистрирование» - 
«Службы») и прове- 
рить, что в статусе 
«Службы терминалов» 
значится «Работает» 
(по умолчанию так 

оно и есть). Далее 
надо заглянуть в «Па- 
нель управления» > 
«Система» > «Удален- 
ные сеансы» и разре- 
шить там удаленное 
управление, внеся 
нужных пользователей 
в доверительный 
список. А специальное 
приглашение для 
«опытного товарища» 
с просьбой погостить 
на компьютере и все 
настроить, можно 
отправить прямо через 
Windows Messenger 
или по почте. Теперь — 
про клиентскую часть. 
Запустить ее можно, 
нажав «Пуск» — «Все 
программы» - «Стан- 
дартные» > «Связь» > 


ОБЗОР СОФТА ДЛЯ УДАЛЕННОГО 
АДМИНИСТРИРОВАНИЯ 


ХОРОШАЯ ВЕЩЬ — УДАЛЕННОЕ АДМИНИСТРИРОВАНИЕ! 
ЕСЛИ БЫ ЕГО НЕ БЫЛО, НЕ БЫЛО БЫ И АДМИНОВ, КОТОРЫЕ 
ТИХОНЬКО ОТРАЩИВАЮТ ПИВНОЕ ПУЗО, ОДНОВРЕМЕННО 
РАБОТАЯ НА ТРЕХ РАБОТАХ. ОНО ПОМОГАЕТ И ПРОСТЫМ 
ПОЛЬЗОВАТЕЛЯМ, КОТОРЫЕ МОГУТ ПОРАБОТАТЬ ЗА СВОИМ 
ДОМАШНИМ ИЛИ РАБОЧИМ КОМПЬЮТЕРОМ С ЛЮБОГО 
ДРУГОГО УСТРОЙСТВА, ОСНАЩЕННОГО ДОСТУПОМ 

В ИНТЕРНЕТ (В ТОМ ЧИСЛЕ И С МОБИЛЬНЫХ ТЕЛЕФОНОВ, 
КПК И Т.Д.). ОНО ПОМОГАЕТ БЫСТРО СОСТЫКОВАТЬ 
РАЗЛИЧНЫЕ ПЛАТФОРМЫ (НАПРИМЕР, WINDOWS И LINUX). 
БЛАГОДАРЯ ЕМУ МОЖНО ОПЕРАТИВНО ПЕРЕДАТЬ ФАЙЛЫ 

С КОМПЬЮТЕРА НА КОМПЬЮТЕР. ТАКАЯ ПРОГРАММА БУДЕТ 
ОТЛИЧНЫМ ПОДАРКОМ, КОТОРЫЙ МОЖНО ОСТАВИТЬ 

НА ВЗЛОМАННОЙ МАШИНЕ. ЕСЛИ НА АТАКУЕМОМ 
КОМПЬЮТЕРЕ УЖЕ УСТАНОВЛЕН НЕПРОПАТЧЕННЫЙ 

ИЛИ ПЛОХО НАСТРОЕННЫЙ СОФТ ДЛЯ УДАЛЕННОГО 
АДМИНИСТРИРОВАНИЯ, ЭТО МОЖЕТ БЫТЬ КАК НЕЛЬЗЯ 
КСТАТИ ДЛЯ ПРОНИКНОВЕНИЯ В СИСТЕМУ 

(ПРАВДА, НЕ СТОИТ ЗАБЫВАТЬ, ЧТО ТОТ ЖЕ ПРИЕМ 

МОГУТ ИСПОЛЬЗОВАТЬ ПРОТИВ ТЕБЯ) 


ФЕДОР ГАЛКОВ 
{1С0 3266669} 


«Подключение к уда- 
ленному рабочему 
столу» (или «Пуск» > 
«ВЫПОЛНИТЬ...» > 
«mstsc»). Правда, пе- 
ред тем, как вводить 
|Р-адрес удаленного 
компьютера, следует 
покопаться в настрой- 
ках, проследовав 

по кнопке «Параме- 
тры». Помимо логина 
с паролем, будет по- 
лезным выбрать ско- 
рость подключения, 
отключить лишние ви- 
зуальные эффекты 

и уменьшить цветовую 
палитру. Также можно 
настроить автоматиче- 
ское подключение 

к принтеру, накопите- 
лям и последователь- 
ным портам нужного 
компа. В зависимости 
от твоих прав на уда- 
ленном компьютере, 
при подсоединении 
сессия текущего поль- 


зователя будет либо 
закрыта (если ты — 
администратор), либо 
станет недоступной 
(если ты в доверитель- 
ном списке), либо ста- 
нет недоступной, 

но с возможностью 
текстового чата с под- 


цЦионное управление рабочим столом 
ючение 


КЛЮЧИВШИМСЯ ПОЛЬЗО- 
вателем (если ты — 
приглашенный специа- 
лист). В общем, встро- 
енные средства хоть 

и не предлагают широ- 
ких возможностей, зато 
есть почти у всех 

и полностью бесплатны. 


| Общие | Экран | Локальные ресурсы | Программы | Дополнительно | — 


Произеодительност ъ 


= 


2) выберите скорость подключения для оптимизации 


быстродействия. 


[Вы сокоскоростное (128 Кбит/с - 1.5 Мбит 


Истользовать спедующие возможности: 

[Г Фоновьй рисунок рабочего стола 

[7] Отображать содержимое окна при перетаскивании 
[7] Визуальные эффекты при отображении меню и окон 


[темы 


[7] Кэширование графики 


.ru/download/radmin22ru.zip 


.radmin 


RADMIN (REMOTE ADMINISTRATOR) 


http://www 


Версия: 2.2 
Размер: 1,8 Мб 


Статус: условно-бесплатная (885 руб.) 


Одной из самых из- 
вестных и хорошо себя 
зарекомендовавших 
утилит является, ко- 
нечно, Radmin. «Уда- 
ленный администра- 
тор» может показаться 
излишне примитив- 
ным, однако в данном 
случае первое впечат- 
ление обманчиво. Од- 
ним из основных преи- 
муществ Radmin’a яв- 
ляется на удивление 
компактный размер 
дистрибутива и скром- 
ные запросы к систем- 
ным ресурсам и скоро- 
сти соединения. Чтобы 
утилита без нужды не 
пожирала дорогой тра- 
фик, ее аппетиты лег- 
ко поумерить, задав 

в настройках ограниче- 
ние на количество цве- 
тов в палитре и пре- 
дельное количество 
кадров в секунду. Ин- 
терфейс Radmin проду- 
ман на славу — ничего 
лишнего, и это при том, 
что все нужное всегда 
под рукой. Клиентский 
модуль предлагает 

на выбор пять режи- 
мов работы: «управле- 
ние» (просмотр экрана, 
управление с помощью 
клавиатуры и мыши, 
короче, полный кон- 
троль), «просмотр» 
(просто наблюдаем, 

не вмешиваясь в рабо- 
ту), «телнет» (для фа- 
натов командной стро- 
ки), «обмен файлами» 
(ограничение — файлы 
не более 2 Гбайт) и 
«выключение». 


По профилю пользователя WinNT 
[7] Включить NT зесийу 


[ЗВ О В 


HARP песо Adiistitor v2.2 Server ana WinSe/ME/NT4.0/2000/4P 


Настройки как клиент- 
ской, так и серверной 
частей не вызывают 
никаких затруднений, 
тем более, что их сов- 
сем немного. По умол- 
чанию Radmin висит 
на порте под номером 
4899, но для разнооб- 
разия можно задать 

и другой. Чтобы каж- 
дый раз вручную не за- 
пускать сервер, при 
старте системы можно 
включить автоматиче- 
ский режим, а чтобы 
сервер не мозолил 
глаза, соответствую- 
щей опцией можно от- 
ключить отображение 
значка в трее. Также 
авторы не забыли по- 
заботиться и о безо- 
пасности. Клиент по- 
мимо стандартного па- 
роля позволяет задать 
список |Р-адресов, 

с которых (и только 

с них) будет разреше- 
но удаленное админи- 
стрирование, плюс для 
МТ-систем можно раз- 
граничить права под- 
ключающихся пользо- 
вателей (к примеру, 
запретить «полный до- 
ступ»). Тем, кому чужд 
английский, придется 
по вкусу русифициро- 
ванный интерфейс 

и хэлп. Что можно ска- 
зать в итоге? Утилита 
не обременена боль- 
шим количеством функ- 
ций, зато работает бы- 
стро и надежно. Кстати, 
долгое время разра- 
ботка программы бук- 
совала, но недавно ав- 
торы наконец-таки ак- 
тивизировались и выпу- 
стили первую бета-вер- 
сию RADMIN 3.0. Если 
есть желание протести- 
ровать новинку (три ме- 
сяца бесплатно) — 
проследуйте по адресу 
www.radmin.ru/ru/pro- 


ducts/radmin30beta/, 


pf&a 


_homeoffice/products/overview.jsp?pcid 
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SYMANTEC PCANYWHERE 


mp;pvid 


Версия: 12.0 
Статус: платная ($199.99) 


Размер: 22,4 Мб 


Авторы позиционируют 
свой продукт как лиди- 
рующий на рынке соф- 
та для удаленного ад- 
министрирования, но 
почему-то такие заяв- 
ления всегда крайне 
сомнительны. Первое, 
чем выделяется рсА- 
nywhere на фоне Rad- 
min’a, это существенно 
более широкая крос- 
сплатформенность. 
Серверная часть будет 
комфортно себя чув- 
ствовать как в среде 
Windows (98, Me, МТ, 
2000, XP), так и Linux 
(Red Hat, Novell, SuSE), 
и Mac OS X (10.3 и вы- 
ше). Однако это еще 
скромный список, 

по сравнению с тем, 
что предлагается для 
клиентской части. 

Для начала — все те 
же операционные си- 
стемы, плюс Windows 
Mobile (вообще мечта 
— управлять домаш- 
ним компом с КПК или 
смартфона в любой 
точке земного шара, 
где есть сотовая 
связь), плюс вэб-интер- 
фейс (нужен только Ja- 
va Runtime Environment 
1.4.2 или выше). Жал- 
ко только, что нет кли- 
ента под Symbian. 
Стандартная установка 
под Windows одновре- 
менно включает в себя 
и серверный, и клиент- 
ский модули, поэтому 
какая роль будет ис- 
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EP oymantec. 
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Dew Connect ts ster made ее 


полняться утилитой — 
всецело зависит от на- 
строек. Утилита спо- 
собна самостоятельно 
подстраиваться под 
скорость соединения, 
но если ты ей не дове- 
ряешь, то все поддает- 
ся настройке вручную. 
Под свои нужды рсА- 
nywhere занимает два 
порта (по умолчанию 
5631 и 5632): один для 
передачи данных, дру- 
гой — статусной ин- 
формации. За безопас- 
ность отвечают: па- 
роль, список 1Р-адре- 
сов, с которых разре- 
шен доступ, выбран- 
ный пользователем 
алгоритм шифрования 
(вплоть до AES 256- 
бит) и некоторые дру- 
гие. Дополнительно 
pcAnywhere может 
предложить свои услу- 
ги для передачи фай- 
лов, а также порабо- 
тать в качестве шлюза 
(то есть связующего 
звена для упрощения 
соединения между кли- 
ентами и серверами). 
Кстати, любителей вся- 
ких нетрадиционных 
развлечений может за- 
интересовать то, что 
программа способна 
работать не только по 
TCP/IP, но и NetBIOS, 
SPX, плюс через ноль- 
модемное соединение 
по LPT или СОМ-порту. 
К сожалению, как и 
многие другие утилиты 
от Symantec, pcA- 
nywhere является non- 
ностью платной — ни- 
каких триальных вер- 
сий не предусмотрено, 
поэтому с поиском ди- 
стрибутива могут воз- 
никнуть определенные 
проблемы. 


DAMEWARE MINI 


оконный 


http://download.dameware.us/files/DWMRC5x.zip 


Версия: 5.1.3.0 


Статус: условно-бесплатная ($89.95) 


Размер: 10,4 Мб 


Достаточно простая 

и неприхотливая утили- 
та. Может понравиться 
тем, кому не нужны 
лишние навороты. По- 
сле установки не тре- 
бует перезагрузки, и 

к тому же не занимает 
много места на жестком 
диске. Практически 
все функции Mini Re- 
mote Control уменьша- 
ются внутри главного 
окна, однако, из-за 
нестандартных иконок, 
в поисках нужной по- 
началу придется пере- 
бирать все подряд. 
Для разнообразия про- 
грамма позволяет ме- 
нять темы оформле- 
ния, но проку от этого 
не так много. Из опе- 
рационных систем под- 
держиваются все Win- 
dows, начиная с 95, но 
некоторые полезные 
функции доступны толь- 
ко начиная с 2000. 
Установка сервера на 
удаленную машину ор- 
ганизована достаточно 
нестандартно. Для это- 
го придется сначала 
запустить «Mini Remote 
Control», нажать кноп- 
ку «Connect», затем, 

в появившемся меню — 
«Install», там ввести 


# REMOTE CONTROL 


70 


х 


| обе | Это 
Access 


General 


(О Penmiesion Requeed (Allow Al Administiators To Have Conitral 
(Enable SysTrapicon (Center Permission Dialog 
(Gn Disconnect Logott (C) Permission Dialog Set Focus On Decine 


Force Apphoabon chutdown 
[On Disconnect Lock Workstation [2000/ХР] 
(Oni atow 

Ones 


[Г Enable emal notification. Logging 
Send notification toc | (E-mail Address) 
Mall Server, | (Name of IP Address) 


МЕНЕДЖМЕНТ СПЕЦ 07 


имя требуемого ком- 
пьютера или ero IP-an- 
рес, потом, отметив га- 
лочку «Copy Configura- 
tion File DWRCS.INI» 

и кликнув по кнопке 
«Edit», определиться 
со всеми настройками, 
и, наконец, щелкнуть 
«ОК». Если ты нигде 
не ошибся, и на подо- 
пытном компе у тебя 
есть администратор- 
ские права, то сервер- 
ная служба должна 
успешно установиться. 
Зачем разработчикам 
понадобилось приду- 
мывать столь неудоб- 
ный алгоритм — не сов- 
сем понятно. Впрочем, 
слегка подпорченное 
впечатление от перво- 
го знакомства меняет- 
ся во время дальней- 
шей работы. Все стан- 
дартные функции, ко- 
торые нужны для уда- 
ленного администриро- 
вания, здесь присут- 
ствуют в полном объе- 
ме. Если ничего не ме- 
нять, программа зай- 
мет 6129 порт, для 
медленных соединений 
предусмотрены всякие 
облегчающие приемы, 
вроде ограничения 
разрешения, отключе- 
ния визуальных эф- 
фектов и уменьшения 
глубины цвета. Отно- 
сительно вопросов бе- 
зопасности соединения 
дела также обстоят не- 
плохо (хотя в багтрек 
порой попадают непри- 
ятные уязвимости, вро- 
де переполнения буфе- 
ра) — пароли, шифро- 
вание, аутентифика- 
ция, доступ лишь для 
заданных групп или 
пользователей — все 
на месте. Напоследок, 
Mini Remote Control го- 
тов предложить свои 
услуги еще и для пере- 
дачи файлов. 


° 


.realvnce.com/cgi-bin/download.cgi 


Версия: 4.2.5 (Enterprise Edition) 
Статус: условно-бесплатная ($50.00) 


Размер: 1,0 Мб 


REALVNC 


http://www 


Следующий пациент 
принадлежит к целому 
семейству так назы- 
ваемых \/МС-систем 
(Virtual Network Сотри- 
ting), предназначенных 
для удаленного адми- 
нистрирования. В ин- 
тернете, можно найти 
много разных реализа- 
ций \/МС. Вот некото- 
рые из них: TightVNC 
(www.tightvnc.com), VNC 
Scan (www.vnescan.com) , 
TridiaVNC (www.tridi- 
аупс.сот), UltraVNC 
(www.ultra-vnc.com) и так 
далее. Однако остано- 
вимся на официальной 
программе, созданной 
разработчиками самой 
системы VNC. Утилита 
распространяется 

в трех вариантах ком- 
плектации, которые от- 
личаются друг от друга 
как функционально- 
стью, так и стоимостью 
(самая примитивная 

и вовсе бесплатна). 

На сайте авторов мож- 
но скачать инсталлято- 
ры RealVNC под Win- 
dows (98-2003), Linux, 
HP-UX и Solaris, при- 
чем, если нужная ось 
в этом списке отсут- 
ствует, не стоит отчаи- 
ваться: можно попро- 
бовать поискать сов- 
местимые клиенты от 
других разработчиков. 
К сожалению, возмож- 
ности RealVNC не осо- 
бо впечатляют, но, если 
взглянуть на размер 
дистрибутива (устано- 
вленный сервер зани- 
мает 1,4 Мб, а клиент — 
0,6 Мб), многое сразу 
можно простить. Впро- 
чем, для основной мас- 
сы задач и имеющихся 
функций будет вполне 
достаточно. Стандарт- 
но сервер занимает 


| Capture Method Legacy 
| Security Connections Inputs | Sharing 


[2] Асер! connections on port: 


Disconnect idle clients after (seconds): 3600 
[2] $егуе Java viewer via HTTP on port: 
Access Control 


[only accept connections from the local machine 


+ Add 


Remove 


(ox) Comena_} [tomer J 


5900 порт для соедине- 
ния с обычными клиен- 
тами, а на 5800 порт 
вешает НТТР-сервис 
для подключения Java- 
клиентов (конечно, но- 
мера портов можно пе- 
реназначить или оста- 
ВИТЬ ТОЛЬКО ОДИН ИЗ ЭТ- 
их сервисов). Интер- 
фейсы, серверы и кли- 
енты выполнены в луч- 
ших традициях мини- 
мализма: настроек 
совсем не много — все 
интуитивно понятно. 
Запросы к скорости 
соединения также весь- 
ма скромные. К тому 
же, RealVNC обеспечи- 
вает достаточно 
неплохой уровень бе- 
зопасности — распро- 
страненные виды сете- 
вых атак автоматиче- 
ски отражаются, под- 
держивается аутенти- 
фикация и шифрова- 
ние трафика. 

В итоге, RealVNC мож- 
но посоветовать тем, 
кому нужна простая 

и компактная крос- 
сплатформенная заме- 
на встроенному Remo- 
te Desktop. 


Рассказывая про вы- 
дающуюся кроссплат- 
форменность рсА- 
nywhere, я не утвер- 
ждал, что он является 
рекордсменом в этой 
области. На самом де- 
ле, по этому параметру 
нет равных утилите 
под названием NetOp 
Remote Control. Сервер 
может быть запущен 
под операционными 
системами Windows 
(95, 98, Ме, МТ, 2000, 
ХР, 2003), Linux, Sola- 
ris, Mac OS X, OS/2 

и DOS! При этом кли- 
ентский модуль прижи- 
вется заодно и под 
Windows CE, и под 
Symbian OS, к Tomy же, 
Ha ПК можно обойтись 
без установки клиента 
(например, запускать 

с USB-6penka) или вов- 
се отказаться от допол- 
нительных утилит, под- 
соединившись к хосту 
через браузер (только 
нужен Activex). В ком- 
плект NetOp Remote 
Control входит сразу 
шесть независимых 
утилит (можно устано- 
вить лишь выбранные). 
В частности, это клиент- 
ский модуль «Guest», 


МЕТОР REMOTE CONTROL 


http://www.netop.com/netop-152.htm 


$ серверный модуль 
>= «Host», шлюз «Ga- 
On 
oT teway», сервер для npe- 
се образования компью- 
S32 терных имен в IP-anpe- 
Oo ® 
oo ca «Name Server» плюс 


у Статус: условно-бесплатная (172 евро) 


Ramote Printing | Help Request | Run As | Directory Services | Web Update 
General Host Name | Connection Notification | Audio Chat 
Startup 
[Start Host when loaded 
[Load Host at Windows startup (run as service) 
[Minimize Host when loaded 
[Stealth mode (hide host when started) 


Connection 
[Minimize Host on connection with Guest 
[ost top most window on connection with Guest 
[ом file transfer status 
(Send keep alive message 

[Allow multiple simultaneous Guest sessions 


утилиты для контроля 
клиентов и разграниче- 
ния прав «Security Ser- 
ver» и «Security Мапа- 
ger». В каждой подпро- 
грамме имеется гигант- 
ское количество функ- 
ций и всевозможных 
настроек, однако, бла- 
годаря удобной сорти- 
ровке по категориям, 
со всем можно доста- 
точно быстро разо- 
браться. Среди инте- 
ресных возможностей 
можно отметить функ- 
ции текстового и голо- 
сового чата между кли- 
ентами и серверами. 

К одному серверу мо- 
гут одновременно под- 
ключаться несколько 
клиентов, однако, во 
избежание путаницы, 
управлять с помощью 
клавиатуры и мыши 
может только один из 
них — остальные толь- 
ко наблюдают. Огром- 
ное внимание уделено 
безопасности: досту- 
пны всевозможные ме- 
тоды аутентификации 
и авторизации, шифро- 
вание трафика (AES 
256-бит), масса настро- 
ек по ограничению 
прав удаленных поль- 
зователей, защита па- 
ролем (можно задать 
максимальное количе- 
ство неправильных по- 
пыток) и т.д. В целом, 
утилита оставляет впе- 
чатление продукта дей- 
ствительно профессио- 
нально-корпоративного 
уровня, поэтому для 
решения домашних за- 
дач удобнее выбрать 
нечто более простое. 
Кстати, чтобы попробо- 
вать условно-бесплат- 
ную версию, необходи- 
мо получить тестовые 
ключи — их высылают 
по почте после прохож- 
дения небольшой про- 
цедуры регистрации. 


http://www.microsoft.com/WindowsServer2003/iis/default.mspx 


Версия: 6.0 


MICROSOFT INTERNET 
INFORMATION SERVICES (IIS) 


Статус: отдельно не распространяется 


Размер: нет данных 


Ты, наверняка, поду- 
мал, что тут какая-то 
ошибка. Чего делает 
один из самых извест- 
ных web-cepBeposB сре- 
ди программ для уда- 
ленного администриро- 
вания? Но никакой 
ошибки тут нет. В об- 
щем, в том, что в IIS 
встроены весьма про- 
двинутые средства 
для удаленного упра- 
вления, нет ничего уди- 
вительного, ибо в Mic- 
rosoft в последнее вре- 
мя пытаются заботить- 
ся об удобстве исполь- 
зования их продуктов, 
или, по крайней мере, 
делают вид, что пыта- 
ются. Для того, чтобы 
заполучить в свое рас- 
поряжение IIS 6.0, 
необходимо и доста- 
точно установить лю- 
бую ось из семейства 
Windows Server 2003. 
Про To, как установить 
и настроить web-cep- 
вер, думаю, рассказы- 
вать не нужно, тем бо- 
лее разговор сегодня 
не об этом. Собствен- 
но, интересующие нас 
способы порулить сер- 
вером через интернет 
предложены аж в трех 
вариантах, причем это 
если не считать всякие 
приемы с самодельны- 
ми скриптами. Итак, 
первый способ предпо- 
лагает использование 
базового инструмента 


для управления серве- 
ром — IIS Manager 
(необходимо, чтобы OH 
присутствовал на ком- 
пьютере, с которого 
нужно подключиться 

к серверу). Второй спо- 
соб также вполне стан- 
дартен — через службу 
терминалов, правда, 
это практически то же 
самое, что встроенное 
удаленное администри- 
рование Windows ХР, 
про которое рассказы- 
валось в самом начале 
статьи. А вот про тре- 
тий способ многие не- 
заслуженно забывают, 
и это притом, что он ку- 
да универсальнее пер- 
вых двух. Оказывается, 
дистанционное упра- 
вление доступно 

и вовсе с любой плат- 
формы, и не требует 
каких-либо дополни- 
тельных утилит — для 
этого предусмотрен 
специальный \меБ-ин- 
терфейс — Remote 
Administration (HTML). 
К сожалению, по умол- 
чанию этот компонент 
не устанавливается, 

да и поддается доволь- 
но чуткой настройке 
контроля доступа, 
поэтому не стоит на- 
деяться, что через 

него удастся легко заб- 
раться в недра любого 
сервера © 
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Вычислительная мощь сейчас направлена Ha обра- 
ботку громадных массивов информации, которая 
лавинообразно нарастает. Разработчик БД стоит 
перед сложным вопросом выбора СУБД для разра- 
ботки автоматизированных систем. Выбор, конеч- 
но, определяется многими факторами, но в основ- 
ном — типом задачи и масштабами ее разверты- 
вания. К примеру, настольные системы не идут ни 
в какое сравнение с распределенными сложными 
автоматизированными комплексами обработки 
больших потоков информации. Остановимся на но- 
вом подарке от Microsoft — SQL Server 2005. 

> краткий обзор. SQL Server 2005, или kak его 
еще называют — SQL Server «YUKON» — продукт 
не для настольных систем. Возможности, заложен- 
ные в нем, позволяют решать массу глобальных 
задач и строить огромные комплексные системы. 


— РЕЛЯЦИОННАЯ БАЗА ДАННЫХ. 
ЭТО НОВОЕ ПЕРЕРАБОТАННОЕ ЯДРО, 
С УЛУЧШЕННОЙ 
ПРОИЗВОДИТЕЛЬНОСТЬЮ, 
С ПОДДЕРЖКОЙ ОБРАБОТКИ ДАННЫХ, 
ПРЕДСТАВЛЕННЫХ ЧЕРЕЗ XML. 


— REPLICATION SERVICES. 
СЕРВИСЫ ДЛЯ ОБЕСПЕЧЕНИЯ 
РЕПЛИКАЦИИ ДАННЫХ ДЛЯ 
РАСПРЕДЕЛЕННЫХ И МОБИЛЬНЫХ 
СИСТЕМ. РЕАЛИЗОВАНА ИНТЕРЕСНАЯ 


МЕНЕДЖМЕНТ СПЕЦ 07 + 68 


ЗОЛОТОЙ 


запас данных 


MS SQL SERVER 2005 


ХХ! ВЕК ПОДАРИЛ HAM НОВУЮ ЭПОХУ ПРОГРАММИРОВАНИЯ. СИСТЕМЫ 
УПРАВЛЕНИЯ БАЗАМИ ДАННЫХ НАЧАЛИ ИГРАТЬ ВАЖНУЮ РОЛЬ. ЭТО СВЯЗАННО 
С ВОЗРАСТАЮЩИМ ПОТОКОМ ИНФОРМАЦИИ, КОТОРУЮ НЕОБХОДИМО 
СИСТЕМАТИЗИРОВАТЬ, АНАЛИЗИРОВАТЬ И ПРИНИМАТЬ РЕШЕНИЯ, ОШИБКИ 


В КОТОРЫХ МОГУТ ДОРОГО ОБОЙТИСЬ 


ВЛАДИМИР ХОПТЫНЕЦ 
{ начальник отдела 


ВОЗМОЖНОСТЬ МАСШТАБИРУЕМОГО 
ПАРАЛЛЕЛИЗМА С ВТОРИЧНЫМИ 
ХРАНИЛИЩАМИ ДАННЫХ, 
ПРЕДНАЗНАЧЕННЫХ ДЛЯ ОТЧЕТНЫХ 
РЕШЕНИЙ. КРОМЕ ТОГО, ВОЗМОЖНА 
ИНТЕГРАЦИЯ С РАЗНОРОДНЫМИ 
СИСТЕМАМИ, ТО ЕСТЬ С СИСТЕМАМИ, 
РАЗРАБОТАННЫМИ С ПОМОЩЬЮ 
ДРУГИХ СУБД. 


“NOTIFICATION SERVICES. 
СЕРВИСЫ УВЕДОМЛЕНИЯ, 
ПРЕДНАЗНАЧЕННЫЕ ДЛЯ УЛУЧШЕННОЙ 
РАЗРАБОТКИ И ВНЕДРЕНИЯ 
ПРИЛОЖЕНИЙ. ОБЕСПЕЧИВАЮТ 
ВОЗМОЖНОСТЬ СВОЕВРЕМЕННОЙ 
ДОСТАВКИ ОБНОВЛЕНИЯ ИНФОРМАЦИИ 
БОЛЬШОМУ КОЛИЧЕСТВУ 
РАЗНООБРАЗНЫХ СОЕДИНЕННЫХ 
И МОБИЛЬНЫХ УСТРОЙСТВ. 


“INTEGRATION SERVICES. 
ПРИМЕНЯЕТСЯ ДЛЯ ОБЕСПЕЧЕНИЯ 
ВОЗМОЖНОСТИ ИЗВЛЕЧЕНИЯ, 
ПРЕОБРАЗОВАНИЯ И ЗАГРУЗКИ ДАННЫХ 
В ХРАНИЛИЩА, ОБЕСПЕЧИВАЕТ 
ИНТЕГРАЦИЮ ДАННЫХ В МАСШТАБАХ 
ВСЕГО ПРЕДПРИЯТИЯ. 


автоматизации } 


— ANALYSIS SERVICES. 
ЭТО СЕРВИСЫ ДЛЯ ОБЕСПЕЧЕНИЯ 
OLAP — АНАЛИТИЧЕСКОЙ ОБРАБОТКИ 
БОЛЬШИХ НАБОРОВ ДАННЫХ 
В РЕАЛЬНОМ ВРЕМЕНИ 
С ИСПОЛЬЗОВАНИЕМ МНОГОМЕРНОГО 
ХРАНИЛИЩА. 


—` REPORTING SERVICES. 
ОБЕСПЕЧИВАЕТ СОЗДАНИЕ, 
УПРАВЛЕНИЕ И ДОСТАВКУ ЛЮБЫХ 
ОТЧЕТОВ. 


Новое поколение SQL Server также обладает до- 
вольно удобными инструментами управления и 
разработки. К первым относятся Microsoft Орега- 
tions Manager и Microsoft System Management Ser- 
ver. Инструменты же разработки тесно интегриро- 
ваны в Microsoft Visual Studio 2005. 

Следует еще отметить, что SQL Server 2005 
полностью поддерживает 64-битную архитектуру, 
и это не может не радовать. 
+> SQL Server Express. Абсолютно бесплатный 
продукт от Microsoft, uto радует. Некоторые могут 
подумать, что это клон MSDE, но это не так. У не- 
го нет никаких ограничений при работе в сети. 
Единственное что, работа по сети отключена по 
умолчанию после установки. 


ограничения: 
“ 1 ПРОЦЕССОР; 
— 1 ГБ ОПЕРАТИВНОЙ ПАМЯТИ; 
—_` 4 ГБ БАЗА ДАННЫХ. 


Server Express доступен для загрузки с официаль- 
Horo сайта Microsoft и совместим со всеми после- 
дующими версиями продукта. Но содержит, как го- 
ворится, только базовый набор возможностей, то 
есть саму реляционную базу данных. А вот модули, 
обеспечивающие дополнительные возможности, 
такие как Full Text Search, Reporting Services — до- 
ступны в отдельно загружаемых Advanced Servi- 
ces, кстати говоря, тоже бесплатных. Кроме того, 
Microsoft System Management Server тоже можно 
скачать отдельно и спокойно установить себе на 
радость. На сайте Microsoft доступна для скачива- 
ния Microsoft Visual Studio 2005 Express Edition, 
правда, с ограничением на один язык для среды 
разработки, зато содержащая все необходимые 
инструменты для разработки баз данных. 

> SQL Server Workgroup. Предназначен для pa- 
боты в среде небольшой компании или офиса. Тут 
уже есть полный набор всех инструментов с авто- 
матическим распределением памяти и вычисли- 
тельной нагрузки. Присутствуют средства автома- 
тического резервного копирования, ведения ло- 
гов, импорта/экспорта данных. Но отсутствуют та- 
кие полезные вещи, как Database Tuning Advisor и 
Notification Services. 


ограничения: 
“~~ 2 ПРОЦЕССОРА; 
— ЗГБ ОПЕРАТИВНОЙ ПАМЯТИ. 


> SQL Server Standart. Мощная СУБД, пред- 
назначенная для работы в средних по масштабу 
компаниях, снаряженная почти полным боеком- 
плектом. Тут уже присутствует зеркалирование 
баз данных и отказоустойчивая кластеризация, 
правда, только на две ноды. Но нет онлайнового 
индексирования и многих усовершенствований, 
которые, в принципе, на данном уровне масштаби- 
рования не нужны. 


ограничения: 
“ 4 ПРОЦЕССОРА. 
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Настройка работы по сети 


> SQL Server Enterprise, SQL Server Developer, 
SQL Server Evaluation Edition. Можно рассматри- 
вать вместе, так как разница у них только в лицен- 
зировании. Enterprise предназначен для работы 
крупного предприятия, Developer — для разработ- 
ки баз данных любого масштаба, поэтому облада- 
ет полным спектром возможностей. A Evaluation 
предназначен для ознакомления со всеми воз- 
можностями и распространяется свободно с сайта 
Microsoft с периодом использования в 180 дней. Не 
имеет каких-либо ограничений, так что все зави- 
сит от железа. 

> SQL Server Mobile. Предназначена для ис- 
пользования в мобильных устройствах. Очень удоб- 
на для организации распределенных баз данных, 
для сбора и анализа статистической информации. 
> — установка. Если интересуешься тем, что по- 
лучше и побесплатнее, то в этом плане для не- 
больших компаний или для собственных разрабо- 
ток вполне подходит SQL Server Express. На нем 
и остановимся более подробно. Дело в том, что 
здесь уже есть все, что необходимо разработчи- 
ку баз данных. 

Microsoft предоставила бесплатно также Vi- 
sual Studio Express, правда с отдельными продук- 
Tamu. Возьмем для примера C# Express, который 
позволяет разрабатывать любые приложения 
„МЕТ с помощью мощного языка С#. Для установ- 
ки надо обновить платформу .МЕТ до 2.0, которая 
идет вместе с образом диска C# Express. SQL Ser- 
ver Express, конечно же, идет вместе с этим обра- 
зом. Но прежде чем установить, обнови еще Win- 
dows Installer до версии 3.1. Иначе установка SQL 
Server просто не начнется — он будет жалобно 
просить обновить этот компонент. Тут поджидает 
небольшой подвох: дело в том, что даже после вы- 
качки соответствующего патча он не установится, 
пока вручную не остановишь предыдущую версию 
службы Windows Installer. Во всяком случае, так 
пришлось сделать мне. 
> ставим Ha Microsoft Windows Server 2003 
Standart Edition SP1. Процесс инсталляции начина- 
ешь с запуска самораспаковывающегося архива 
SQLEXPR.EXE. После распаковки проверяется 
версия Windows Installer и, если она соответствует 
требованиям, на экран выплевывается лицензион- 
ное соглашение. Его, конечно, принимаешь и 
жмешь Next. Далее установка захочет поставить 
Microsoft SQL Native Client и Microsoft SQL Server 
2005 Setup Support Files. Молча co всем соглаша- 
ешься и жмешь клавишу Install. После этого фак- 
тически стартует мастер установки уже самого 
SQL Server. После экрана приветствия система 
пройдет еще один этап тестирования на совмести- 
мость, и появится экран со списком соответ- 
ствий/несоответствий и разных предупреждений. 

Список не маленький, но все понятно, и ни- 
каких особых сложностей с установкой возникнуть 
не должно. В итоге, ты попадешь на выбор устана- 
вливаемых компонентов. В качестве базового на- 
бора предлагается установить: 


в разделе Database Services: 

— DATA FILES 
ПОДДЕРЖКА ФАЙЛОВ БАЗ ДАННЫХ. 
ФАКТИЧЕСКИ ЭТО ИМЕННО ТО, РАДИ 
ЧЕГО ТЫ СТАВИШЬ SQL SERVER. 


“ REPLICATION 
НАБОР ОБЪЕКТОВ РЕПЛИКАЦИИ, 
НЕОБХОДИМЫХ ДЛЯ КОПИРОВАНИЯ 
ДАННЫХ И ОБЪЕКТОВ БАЗ ДАННЫХ 
В ОДНУ ИЛИ НЕСКОЛЬКО БАЗ ДАННЫХ. 


“ SHARED TOOLS 
ОБЪЕКТЫ ДЛЯ ОРГАНИЗАЦИИ ОБЩЕГО 
ДОСТУПА. 


в разделе Client Components: 

™ CONNECTIVITY COMPONENTS 
КОМПОНЕНТЫ ДЛЯ ВЗАИМОДЕЙСТВИЯ 
КЛИЕНТА С СЕРВЕРОМ, ВКЛЮЧАЯ 
СЕТЕВЫЕ БИБЛИОТЕКИ ДЛЯ ODBC 
И OLE DB. 


— SOFTWARE DEVELOPMENT KIT 
НАБОР КОМПОНЕНТОВ 
ДЛЯ РАЗРАБОТКИ МОДЕЛЕЙ 
И ПРОГРАММИРОВАНИЯ. 


Выбирай для установки хоть все, что перечислено, 
хотя Replication, Shared Tools и Software Develop- 
ment Kit — He обязательны. 

Далее мастер запросит имя для данного экзем- 
пляра объекта службы SQL Server. Теперь нужно вы- 
брать тех, кто будет использовать данную службу. 

Также нужно будет указать, какая служба стар- 
Тует автоматически. Отдельно о службе SQL Browser: 
она используется для возврата именованного канала 
иадреса ТСР-порта клиенту. По умолчанию эта служ- 
ба выключена, так как SQL Server 2005 Express Edit- 
ion вначале настроен на локальное рабочее место. 

Следующий шаг — режим аутентификации, ис- 
пользуемый при подключении к службе SQL Server. 
Рекомендуется смешанный, так как ты можешь ис- 
пользовать пользователей домена для разрешения 
подключения к серверу, но некоторые дополнитель- 
ные инструменты и скрипты могут быть настроены на 
подключение через авторизацию в самой службе. 

После этого необходимо настроить установ- 
ки сортировки для SQL Server. Все зависит от ис- 
пользуемого в базах языка и особенностей работы 
на сервере, так как иногда необходимо различать 
прописные и строчные буквы, и т.д. 
> cepBep установлен. Тем не менее, он настроен 
еще и на работу на локальном рабочем месте. Для 
того чтобы разрешить работу по сети, необходимо за- 
пустить SQL Server 2005 Surface Area Configuration из 
меню Пуск — Программы — Microsoft SQL Server 
2005 — Configuration Tools, выбрать Surface Area Con- 
figuration for Services and Connections и настроить 
свойство Remote Connection в группе Database Engine. 

Чтобы получить возможность работать с база- 
ми данных, назначать права пользователей и прово- 
дить отладочную и административную работу, пона- 
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Интерфейс SQL Server Management Studio Express 


добится утилита SQL Server Management Studio Ex- 
press, которую совершенно бесплатно можно ска- 
чать с сайта Microsoft. Она предоставляет собой ин- 
терфейс привычного проводника и полную среду 
разработки баз данных, начиная с разработки схемы 
базы данных и заканчивая отладкой хранимых про- 
цедур. Кроме того, организован доступ к стандарт- 
ным процедурам и функциям SQL Server, где можно 
просмотреть подробную спецификацию по каждой. 
На сайте Microsoft можно еще скачать Micro- 
soft SQL Server 2005 Express Edition with Advanced 
Services. Эта утилита уже включает в себя средства 
интегрированной разработки баз данных и сред- 
ства полнотекстового поиска, которые позволяют 
составлять запросы простым текстом в виде пред- 
ложений. Также эта утилита обладает встроенной 
службой Reporting Services, которая позволяет раз- 
рабатывать отчеты и использовать \ммеб-ресурсы. 
Для этого необходимо иметь установленным и на- 
строенным IIS 5.0 или выше, который есть на уста- 


Microsoft SQL Server 2005 Setup 
System Configuration Check 
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новочном диске системы. Если перед этим ты уже 
установил SQL Server 2005 Express Edition, то для 
установки утилиты необходимо его удалить, либо 
удалить все данные из папки Template Data, кото- 
рая по умолчанию находится в C:\Program Files\Mic- 
rosoft SQL Server\MSSQL.#\MSSQL\Template Data. И 
настоятельно рекомендую скопировать всю инфор- 
мацию, прежде чем удалять... 

Другая утилита — Microsoft SQL Server 2005 
Express Edition Toolkit — расширяет возможности 
предыдущей. Содержит Business Intelligence Deve- 
lopment Studio, с помощью которого можно быстро и 
просто создавать и редактировать отчеты для SQL 
Server 2005 Reporting Services. Работа с Development 
Studio напоминает, если не повторяет, работу на Vi- 
sual Studio с соответствующими проектами. 

И последнее — SQL Server 2005 Books Onli- 
пе. Полноценная помощь с примерами установки, 
настройки и языка Transact-SQL Microsoft SQL Ser- 
ver 2005. Занимает порядка 125 Мб. 


новые 
ВОЗМОЖНОСТИ 


Основной секрет эффективного использования 
программного продукта — доскональное знание 
его возможностей. Что же нового предлагает SQL 
Зегуег 2005? Для начала стоит упомянуть службу 
Service Broker, которая позволяет хранить очереди 


Wait while the system is checked for potential installation problems, 


@ Success 


Details: 


WMI Service Requirement 
MSXML Requirement 
Operating System Minimum Level Requirement 


SQL Server Edition Operating System Compatibility 
Minimum Hardware Requirement 

Pending Reboot Requirement 

Default Installation Path Permission Requirement 
Intemat Explorer Requirement 

COM Plus Catalog Requirement 

ASP.Net Version Registration Requirement 
Minimum MDAC Version Requirement 
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Operating System Service Pack Level Requirement 


Процесс установки Microsoft SQL Server 2005 


сообщений внутри базы данных SQL Server, и та- 
ким образом достигается новый уровень интегра- 
ции с базами данных. 
(1 Новые выражения Transact-SQL позволяют 
разрабатывать приложения, которые спо- 
собны обмениваться сообщениями. Каждое сооб- 
щение — это часть диалога, независимого комму- 
никационного канала между двумя приемниками. 
Теперь работать с SQL Server можно с помощью 
областей — назначение прав можно проводить 
областями или по схемам базы данных. Возможно 
онлайн-восстановление базы данных: база данных 
остается доступной для работы, в то время как ее 
часть восстанавливается. Удаление и создание 
новых индексов также доступны в режиме онлайн. 
о Что касается самого движка базы данных, 
то, во-первых, следует отметить поддержку 
технологии .МЕТ или так называемую СЬВ-инте- 
грацию. Теперь объекты базы данных (триггеры, 
хранимые процедуры, типы), определяемые поль- 
зователем, могут быть написаны на одном из язы- 
ков МЕТ Framework, например на С#. Одним из 
главных преимуществ управляемого кода являет- 
ся безопасность типов. До того, как управляемый 
код будет выполнен, CLR выполняет несколько 
проверок, известных как верификация, чтобы га- 
рантировать безопасность выполняемого кода. 
Использование CLR в базе данных существенно 
расширяет возможности, так как программист мо- 
жет создать свой собственный объект, обладаю- 
щий определенным поведением, и определить по- 
ля с типом этого объекта. Таким образом, поведе- 
ние и данные будут инкапсулированы, и для досту- 
па к ним будет необходимо использование про- 
граммных методов. 
о Кроме стандартных механизмов доступа к 
базе данных (ODBC, OLE DB) есть еще и 
„МЕТ Framework Data Provider для SQL Server, на- 
зываемый sqlClient’om, который оптимизирован 
для доступа из программ, написанных Ha .МЕТ ори- 
ентированных языках именно к SQL Server 2005. 
Для поддержки распределенных запросов в 
Transact-SQL используются новые типы дан- 
ных и добавлены новые события SQL Trace для улуч- 
шения отладки. Кроме того, Transact-SQL теперь по- 
зволяет разрабатывать рекурсивные запросы. 
rs) Управление ядром базы данных теперь 
снабжено автоматическим распределением 
памяти и автоматическим распределением на- 
грузки средств ввода/вывода и процессора. 
о Ядро поддерживает ХМЁ-типы данных для 
хранения ХМЁ-документов, столбцов таблиц 
или переменных Transact-SQL. Также есть под- 
держка XQuery и XML Schema definition language 
(XSD). В SQL Server 2005 ХМЕ-данные хранятся в 
виде больших двоичных объектов, которые можно 
анализировать и частично сжимать. SQL Server 
2005 позволяет выполнять запросы к частям ХМЕ- 
документа, проверять документ на соответствие 
ХМЕ-схеме и изменять содержимое ХМ!-докумен- 
та. Также происходит объединение традиционных 
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реляционных данных и частично структурирован- 
ных и неструктурированных ХМЕ-документов. Под- 
держка XQuery позволяет строить запросы ко 
всем типам ХМЕ-данных. 
Улучшения коснулись и Data Mining, которая 
используется в Analisys Services взамен 
стандартного подхода к ОГАР-технологиям. 
rs) Многомерные базы данных (MD) позволяют 
производить уникальный анализ данных в 
онлайн режиме. Появились такие возможности, 
как правило ассоциации, временные ряды, регрес- 
сионные деревья, кластеризация последователь- 
ностей, нейронные сети. Кубы данных также полу- 
чили новые возможности, такие как инфраструк- 
тура ключевых индикаторов производительности 
(KPI), сценарии МОХ ит.д. 
о Набор кубов и измерений, определенный в 
Analysis Services 2005, называется единооб- 
разной пространственной моделью (UDM). UDM 
является центральным хранилищем метаданных, 
определяющим бизнес сущности, бизнес-логику, 
вычисления и метрики, служащие источником для 
всех отчетов, электронных таблиц, программ прос- 
мотра ОТАР, KPI и аналитических приложений. 
© Находкой для программера будут Analysis 
Management Objects (AMO) — объекты ynpa- 
вления Analysys Services. Связь с этими объекта- 
ми заменит написание сценариев DDL и сцена- 
pues на ASSL. 
® Для обеспечения доступа клиента к базам 
данных Microsoft SQL Server 2005 теперь 
предусмотрена технология SQL Native Client, кото- 
рая комбинирует SQL OLE DB провайдера с SQL 
ООВС-драйвером, а также их сетевые функции 
в одной библиотеке DLL. Эта технология позволя- 
ет разрабатывать приложения, использующие та- 
кие возможности SQL Server 2005, как множе- 
ственные активные наборы данных (MARS), типы 
данных, определенные пользователем (UDT), 
и поддержка ХМЁ-типов данных. 
12) Для web-goctyna организован доступ Simple 
Object Access Protocol (SOAP) через HTTP. 
При этом ядро получает пакеты напрямую, без ор- 
ганизации вспомогательных сервисов или IIS. 
13) С помощью ADO.NET реализованы такие 
возможности, как уведомление о запросах 
и MARS. Уведомление о запросах — это уведо- 
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мление о TOM, что одна и та же команда к SQL 
Зегуег 2005 дала разные результаты. И сама ко- 
манда, и отличия, на которые необходимо созда- 
вать уведомление, — программируемые. МАА$ — 
новая концепция, которая позволяет иметь более 
одного открытого результирующего набора дан- 
ных на одно подключение. Множественные ак- 
тивные результирующие наборы устраняют су- 
ществующее на данный момент ограничение, 
когда открытый результирующий набор по умол- 
чанию блокирует драйвер от отправки запросов 
на сервер до тех пор, пока не употреблен весь ре- 
зультирующий набор. 
Reporting Services предлагают возможности 
создания ОЁАР-отчетов и глубоко связаны с 
Microsoft Office System, что позволяет открывать 
эти отчеты в привычном Word и Excel. 
© Предоставлено огромное количество средств 
для настройки производительности базы 
данных: настройка использования памяти, настрой- 
ка блокировок и даже настройка сетевого и диско- 
вого ввода/вывода. Для обеспечения достаточного 
уровня прозрачности и видимости состояния базы 
данных и обеспечения упреждающего мониторинга 
используется Dynamic Management Views. 
Управлять базой данных SQL Server можно 
программно. Для этого существуют SQL Ма- 
nagement Objects (SMO) — объекты управления 
SQL, на которых и построена Management Studio. 
С помощью этих объектов можно программно по- 
лучать конфигурацию настроек, выполнять сцена- 
рии Transact-SQL, резервное копирование и т.д. 
Теперь душе программиста есть куда развернуть- 
ся, и можно не быть привязанным к набору стан- 
дартных утилит, хотя они и предлагают исчерпы- 
вающий набор средств управления. Модель SMO 
является заменой уже устаревшей модели распре- 
деленных объектов управления (DMO). Хотя DMO 
и можно использовать, но дальше развиваться эта 
ветвь не будет. 
© Существует возможность зеркалирования 
базы данных — когда содержимое журна- 
ла транзакций основного сервера передается 
также и на другой, и, в случае сбоя основного 
сервера, все транзакции сразу же перенаправля- 
ются на другой сервер. Благодаря этому дости- 
гается высокая отказоустойчивость. Следует 


также упомянуть кластеры с восстановлением 
после отказа, количество которых в SQL Server 
2005 увеличено до 8. 
© Очень полезное решение для восстано- 
вления баз данных — моментальный сни- 
мок базы данных. При этом нет необходимости 
создавать полную копию базы данных. Логика 
работы такова, что если основная база расхо- 
дится со снимком, то она изменяется до COOT- 
ветствия ему, и, таким образом, можно восста- 
навливать базу данных после случайных изме- 
нений. Новая технология быстрого восстановле- 
ния позволяет пользователям подключиться к 
базе данных, которая еще находится в стадии 
восстановления, без отката незавершенных 
транзакций. При оперативном восстановлении 
связь с базой данных не обрывается. Заблоки- 
рованной становится только та часть, которая 
подлежит восстановлению. 
© Для решения проблем на сервере SQL Ser- 
ver 2005 предоставляет выделенное адми- 
нистративное соединение, которое может быть до- 
ступно через утилиту командной строки SQLCMD 
локально или с удаленной машины. С помощью 
нее можно выполнять диагностические функции и 
операторы Transact-SQL. 
® Для управления большими базами данных 
предусмотрено секционирование таблиц и 
индексов, а новым в этой идее является то, что те- 
перь секционирование таблиц возможно по фай- 
ловым группам. Но такая возможность реально 
пригодится только при размерах базы от сотен гиг 
до терабайта. 
@ Приемницей довольно популярной функ- 
ции Data Transformation Services (DTS) 
в SQL Server 2005 является SQL Server Integra- 
tion Services (SSIS), которая позволяет BO много 
раз проще объединять и анализировать данные 
из нескольких разнородных источников инфор- 
мации, и является полностью программируемой 
платформой. 
> немалый арсенал возможностей. Возможно, 
многое из описанного просто не потребуется ис- 
пользовать, но всегда лучше иметь арсенал в за- 
пасе, чем в последний момент изобретать невесть 
что. А ведь так иногда и получается — из-за не- 
верных решений, принятых в начале создания ав- 
томатизированной системы или хранилища дан- 
ных, приходится потом так изворачиваться и стро- 
ить подпорки, что это уже никак не оправдывает 
упрощенные подходы. Кроме того, давай смо- 
треть правде в глаза: пользователи работают 
в основном на Windows-cuctemax, а программи- 
сты смогут заработать на жизнь, имея стабиль- 
ный контингент заказчиков, и ориентироваться 
нужно на среднего, а не на продвинутого пользо- 
вателя. Поэтому как бы это ни было скучно, а пи- 
сать приходится для них — пользователей. А гра- 
мотное использование любых программных 
средств чьей угодно разработки всегда дает хоро- 
ший результат © 
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> 1. семенное размножение — выращивание 
нового экземпляра Windows из семени. Дистрибу- 
тива то есть. С этим процессом знакомы многие. 
Но что делать, если надо вырастить не один Win- 
dows и не два, а, например, несколько десятков. 
Причем ставить придется не только Windows, но 
еще и десяток программ, необходимых в произ- 
водстве. Чтобы не свихнуться от монотонного про- 
цесса осеменения, придется применять методы 
автоматизации... 
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О РАЗМНОЖЕНИИ WINDOWS 


MICROSOFT WINDOWS ЗАНИМАЕТ ЦЕЛЫХ 99% ЭКОЛОГИЧЕСКОЙ НИШИ НАСТОЛЬНЫХ 
ОПЕРАЦИОННЫХ СИСТЕМ В РОССИИ. ТАКИЕ ГРАНДИОЗНЫЕ УСПЕХИ БЫЛИ 

БЫ НЕВОЗМОЖНЫ, ЕСЛИ БЫ WINDOWS НЕ БЫЛ СПОСОБЕН К БЫСТРОМУ, 
ЭФФЕКТИВНОМУ И МАССОВОМУ РАЗМНОЖЕНИЮ. ОБ ЭТО ДЕЛИКАТНОМ 


ПРОЦЕССЕ И ПОГОВОРИМ 
РОМАН ЛУКОВНИКОВ, ЗАРАЗА 
{ é 3 a3 


{lrb@sandy.ru, Зар 


> 1.1. расширение дистрибутива Windows. Oc- 
новное отличие дистрибутива Windows от яйца 
состоит в том, что управлять характеристиками того, 
что вылупится из яйца, практически невозможно. 
Сделать же свой дистрибутив Windows, в котором бу- 
дет все, что необходимо для жизни, вполне реально. 


@security 


> 1.1.1. интеграция сервис-пака и хотфиксов. 
Итак, у нас имеется некий дистрибутив Windows, 
но Microsoft успел выпустить новый сервис-пак 
и кучу хотфисов. Устанавливать их каждый раз по- 
сле окончания процедуры инсталляции Windows 
очень не хочется. Что делать? Можно интегриро- 


вать сервис-пак в имеющийся дистрибутив Win- 
dows. Для этого необходимо: 


1 СКОПИРОВАТЬ ДИСТРИБУТИВ 
НА ЖЕСТКИЙ ДИСК, НАПРИМЕР 
В ПАПКУ C:\WINDIST; 


2 ЕСЛИ СЕРВИС-ПАК ВЫКАЧАН 

ИЗ СЕТИ, А НЕ ПОЛУЧЕН 

НА КОМПАКТ-ДИСКЕ 

В РАСПАКОВАННОМ ВИДЕ, 

ТО НЕОБХОДИМО РАСПАКОВАТЬ 
СЕРВИС-ПАК. ДЛЯ ЭТОГО ЕГО СЛЕДУЕТ 
ЗАПУСТИТЬ С КЛЮЧИКОМ /Х И УКАЗАТЬ 
ПУТЬ ДЛЯ РАСПАКОВКИ; 


3 ЗАПУСТИТЬ UPDATE.EXE ИЗ КАТАЛОГА 
UPDATE СЕРВИС-ПАКА С КЛЮЧИКОМ 
ЛМТЕСВАТЕ (НАПРИМЕР, 
WINDOWSXP-KB######-X86-LLL.EXE 
/INTEGRATE:C:\WINDIST). 


Пункты 2 и 3 необходимо выполнить для сервис- 
пака и каждого обновления. 

Дистрибутив готов к использованию, но на- 
ходится на жестком диске. Если мы просто запи- 
шем его на компакт-диск, то СО не будет загрузоч- 
ным. Поэтому необходимо извлечь загрузочный 
сектор оригинального компакт-диска Windows с 
помощью утилиты ISO Buster или UltralSO. Либо 
подготовить загрузочный 1$О0-образ с помощью 
того же UltraISO или используя встроенные воз- 
можности Nero ( во вкладочке Boot при создании 
проекта необходимо выставить число секторов не 
менее 4). 
> 1.1.2. интеграция драйверов и программ че- 
рез ОЕМ-директории. ОЕМ-директории использу- 
ются для расширения дистрибутива Windows, осо- 
бенно при автоматической установке. Файлы, со- 
держащиеся в них, в процессе установки автома- 
тически копируются в загрузочный раздел диска 
или в служебные папки Windows. Это могут быть 
файлы дистрибутива программного продукта или 
драйвера к соответствующему железу. А необхо- 
димость присутствия файлов непосредственно 
на диске (а не на СО или сетевом ресурсе) есть, 
так как, к примеру, создать универсальный коман- 
дный файл, который бы запускал программу уста- 
новки программного обеспечения с СО, проблема- 
тично. В частности, на разных машинах может 


важно 


ПРИ СОЗДАНИИ СТРУКТУРЫ ОЕМ-ПАПОК 
ДЛЯ УСТАНОВКИ ОС С CD ДИРЕКТОРИЯ 
$ОЕМ$ ДОЛЖНА БЫТЬ НА ОДНОМ 
УРОВНЕ С ДИРЕКТОРИЕЙ 1386, 

А ПРИ СОЗДАНИИ АНАЛОГИЧНОЙ 
СТРУКТУРЫ ДЛЯ УСТАНОВКИ 

ПО СЕТИ ИЛИ С ЖЕСТКОГО ДИСКА 
ПАПКА $ОЕМ$ ДОЛЖНА БЫТЬ 

ВЛОЖЕНА В 1386. 


быть разная буква привода СО, либо может 
не быть системной переменной, указывающей 
на нее. А в процессе установки системы поиск 
необходимых драйверов может осуществляться 
только с локального диска. 

Все, что будет находиться в директории $1, в 

процессе установки будет скопировано на загру- 
зочный раздел (раздел, на котором находятся си- 
стемные файлы ОС). Все, что расположено в пап- 
ке $$, будет скопировано в директорию Windows 
(c:\winnt или c:\windows в зависимости от ОС и бу- 
квы загрузочного раздела). 
$1 — корневой каталог загрузочного раздела; 
$$ — директория Windows; 
$Docs — Document and Settings 
(присутствует в OC выше Windows 2000); 
$Progs — Program Files 
(присутствует в OC выше Windows 2000). 
Буква диска — корневой каталог диска, буква ко- 
торого указана ($OEM$\D\Distrib приведет к созда- 
нию папки D:\Distrib, если буква D назначена раз- 
делу, на котором возможна запись). 

В корне $ОЕМ$ можно создать файл cmdli- 
ne.txt, в котором указать команды, необходимые 
для выполнения. Команды будут выполнены на ко- 
нечной стадии установки системы под системной 
учетной записью. Файл cmdline.txt должен начина- 
ться со строки COMMANDS, далее в двойных ка- 
вычках идут команды, которые необходимо вы- 
полнить. Если исполняемый файл находится либо 
в корне каталога %ОЕМ%, либо в каталоге, путь к 
которому указан в переменной PATH, то в cmdli- 
ne.txt путь не пишется. А если нужно запустить 
файл $OEMS$\Tools\Install.cmd, в файле прописы- 
вается путь «.\Tools\Install.cmd», где \ означает те- 
кущий каталог. 


пример файла ста!те 5 


При использовании ОЕМ-директорий с файлом от- 
ветов необходимо убедиться, что в секции [Unatten- 
ded] параметр OemPreinstall имеет значение Yes. 
Если в папку $OEM$ ты добавляешь драйвера и хо- 
чешь, чтобы процедура установки искала их в ука- 
занном месте, то в секции [Unattended] параметр 
OemPnpDriversPath должен указывать путь к ним. 


если в папке $OEM$\1\Drivers\ у тебя есть 
папки NIC, VIDEO, AUDIO, CHIPSET: 


Путь нужно указывать к папкам, в которых нахо- 
дятся п!-файлы, учитывая при этом, что в подпап- 
ках поиск не производится. 


> — 1.1.3. использование утилиты sysdiff. Что де- 
лать, если необходимо установить программное 
обеспечение, которое не поддерживает автома- 
тическую установку? Можно, например, вос- 
пользоваться утилитой sysdiff, входящей в ком- 
плект Windows Resource Kit. Она позволяет вы- 
делить изменения, происшедшие в системе, на- 
чиная с некоторой контрольной точки, сохранить 
их в файл, а потом применить в системе другого 
компьютера. Использовать sysdiff можно по 
алгоритму следующим образом: 


1 СНАЧАЛА ДЕЛАЕТСЯ СНИМОК «ГОЛОЙ» 
СИСТЕМЫ С ПОМОЩЬЮ КОМАНДЫ SYS- 
DIFF /SNAP SOMENAME.IMG, ПРИ ЭТОМ 
СОЗДАЕТСЯ ФАЙЛ SOMENAME.IMG, 

В КОТОРОМ СОДЕРЖАТСЯ СВЕДЕНИЯ 

О СОСТОЯНИИ СИСТЕМЫ (РЕЕСТРА 

И ФАЙЛОВ); 


2 УСТАНАВЛИВАЕТСЯ НЕОБХОДИМОЕ ПО; 


3 НАХОДЯТСЯ ИЗМЕНЕНИЯ, 
ПРОИСШЕДШИЕ В ХОДЕ УСТАНОВКИ 
ПО. ДЛЯ ЭТОГО ИСПОЛЬЗУЕТСЯ 
КЛЮЧИК /DIFF (SYSDIFF /DIFF 
SOMENAME.IMG INSTALL.DIF), ТЕПЕРЬ 
В ФАЙЛЕ INSTALL.DIF ЗАПИСАНЫ TE 
ДЕЙСТВИЯ, КОТОРЫЕ ВЫПОЛНИЛ 
ИНСТАЛЛЯТОР ПРОГРАММЫ; 


4 ВМЕСТО УСТАНОВКИ ПРОГРАММЫ 
МОЖНО ЗАПУСТИТЬ SYSDIFF /APPLY 
INSTALL.DIF, ЧТОБЫ ВОССОЗДАТЬ 
ФАЙЛЫ И КЛЮЧИ РЕЕСТРА, СОЗДАННЫЕ 
В ПРОЦЕССЕ УСТАНОВКИ ПРОГРАММЫ; 


5 МОЖНО ИСПОЛЬЗОВАТЬ SYSDIFF ЛМЕ 
INSTALL.DIF (ПУТЬ К ПАПКЕ OEM) 

ДЛЯ СОЗДАНИЯ ВКЛЮЧЕНИЯ 
ИЗМЕНЕНИЙ, ОТЛОВЛЕННЫХ SYSDIFF, 
В ДИСТРИБУТИВ. 


Microsoft не рекомендует использовать sysdiff под 
Windows XP, хотя в большинстве случаев проблем 
не возникает. Как альтернативу, Microsoft предлагает 
Winlnstall LE от OnDemand Software (www.ondeman- 
dsoftware.com), Утилиту можно так же найти в папке Va- 
lueadd дистрибутива Microsoft Windows 2000 Server. 
> — 1.2. установка по сети. Для установки Win- 
dows не обязательно загружаться с компакт-дис- 
ка, можно подключиться к дистрибутиву Windows 
по сети. Для этого потребуется: дистрибутив, до- 
ступный по сети (его можно создать через тот же 
setupmgr.exe), загрузочная дискета с сетевым кли- 
ентом Microsoft и, для облегчения жизни, файл от- 
ветов. К сожалению, начиная с Windows 2000, Мс- 
rosoft не заботится о том, чтобы предоставить BO3- 
можность создания диска сетевой загрузки. Есть 
следующие варианты: 


1 ИСПОЛЬЗОВАТЬ ФАЙЛЫ ИЗ 
ДИСТРИБУТИВА WINDOWS МТ 4.0 


28 гоконный 


SERVER (ИЗ ПАПКИ 1386 ВЗЯТЬ 
ФАЙЛЫ NCADMIN.CN_, NCADMIN.EX_, 
NCADMIN.HL_), ВЫПОЛНИТЬ 

ДЛЯ НИХ КОМАНДУ EXPAND 

И ЗАПУСТИТЬ NCADMIN.EXE. 


ВОСПОЛЬЗОВАТЬСЯ АДРЕСОМ 
WWW.NU2.NU/BOOTDISK/NETWORK/. 


3 ИСПОЛЬЗОВАТЬ NORTON GHOST 2003 
(NORTON GHOST BOOT WIZARD). 


-bat-cbavin для автоматического запуска процесса 
установки можно так же подготовить с помощью 
setupmgr.exe. Для сетевой установки запускается 
winnt.exe из папки 1386 дистрибутива. Не забудь 
проверить наличие раздела FAT. Для оптимальной 
конвертации раздела в МТЕ$ рекомендуется ис- 
пользовать утилиты Oformat.com и cvtarea.exe из 
deploy.cab, которые так же можно включить в bat- 
файл автоматической установки. 

3» 1.3. сервер удаленной установки RIS (Remo- 
te Installation Server) — продукт компании Micro- 
soft, предназначенный для автоматической уста- 
новки операционных систем по сети. Он входит в 
состав серверных ОС, начиная с Windows 2000 
Server. RIS можно использовать для разведения 
Windows в поистине фермерских масштабах, так 
как вся установка происходит по сети и от кли- 
ентского компьютера практически не требуется 
каких-либо действий. Причем установка произво- 
дится прямо на «голое» железо. 

Как это происходит? Используется протокол 
сетевой загрузки (ВООТР). Загрузка системы по 
сети поддерживается любым сетевым адаптером 
с встроенным BIOS — Pre-Boot Execution Environ- 
ment (РХЕ). Сейчас практически все адаптеры 
поддерживают загрузку по сети. 

Если сетевой адаптер все-таки не поддержи- 
вает загрузку по сети, то в комплект RIS входит 
утилита rbfg.exe (Remote Boot Floppy Generator), 
которая создает загрузочную дискетку с возмож- 


BACKUPSRY Properties RIES 
General | Operating System | MemberOf | Delegation | 
Location | ManagedBy | — Diakin Remote Install 
=4% —Youcan manage this remote installation server and control the 
ap way i interacts with existing and potential cent computers. 

Client support 

Г Bespond to chent computers requesting serviced 
F Bo not respond to unknown oberk compilers 

Г Check server 


It this remote installation server is exhibiting problems, select the "Verily 
Servet" option to perform an integrity check. If problems are 
encountered they will be fixed. 


Thés option is only available from the server console. 


Verily Server | 


Show Chents... | Adyanced Settings... 


ЕЕ 


Включение протокола ВООТР на сервере 
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ностью удаленной загрузки системы. RBFG под- 
держивает большую часть сетевых адаптеров: 
3COM, Intel, SMC, AMD, Сотрад, Dec, Realtek и т.д. 
Когда «голый» компьютер, готовый принять в себя 
Windows, инициализирует загрузку через сеть (как 
и любая загрузка, она происходит сразу после 
окончания инициализации BIOS), РХЕ сначала 3a- 
прашивает сетевые параметры (!Р-адрес, маску, 
адреса DNS) по DHCP, затем через DNS находит 
сервер RIS, который и «заливает» по сети уста- 
новщик Windows, после чего идет обычный про- 
цесс установки системы. 

При помощи RIS, входящего в состав Win- 
dows 2003 Server, можно устанавливать практиче- 
ски любые версии Windows 2000, ХР и 2003. 

Аналогичная служба из состава Windows 
2000 Зегуег не поддерживает установку сервер- 
ных платформ и позволяет разворачивать ОС 
только одной языковой версии (той, что устано- 
влена на сервере RIS). К тому же, установка 
Windows ХР с помощью RIS 2000 проходит слож- 
нее и требует дополнительных настроек (Micro- 
soft рекомендует разворачивать эту ОС с помо- 
щью RIS 2003). 
> для успешной работы RIS должны выпол- 
няться следующие требования: 


требования к сети: 

— НАЛИЧИЕ ACTIVE DIRECTORY 
(СОДЕРЖИТ УЧЕТНЫЕ ЗАПИСИ 
КЛИЕНТСКИХ КОМПЬЮТЕРОВ И RIS- 
СЕРВЕРА ВМЕСТЕ СО ВСЕМИ 
НАСТРОЙКАМИ); 


— НАЛИЧИЕ DNS (ПОЗВОЛЯЕТ КЛИЕНТАМ 
НАЙТИ НЕОБХОДИМЫЕ СЛУЖБЫ В AD); 


—` НАЛИЧИЕ DHCP (ВЫДАЕТ АДРЕСА 
КЛИЕНТСКИМ МАШИНАМ). 


требования к серверу: 

— ПОД ФАЙЛЫ ОБРАЗОВ ДОЛЖЕН БЫТЬ 
ВЫДЕЛЕН ОТДЕЛЬНЫЙ РАЗДЕЛ (НЕ 
СИСТЕМНЫЙ И НЕ ЗАГРУЗОЧНЫЙ) 

С ФАЙЛОВОЙ СИСТЕМОЙ МТЕЗ; 


—_ НА ЭТОМ РАЗДЕЛЕ ДОЛЖНО БЫТЬ 
НЕ МЕНЕЕ 2 ГБ СВОБОДНОГО 
ПРОСТРАНСТВА. 


требования к клиентам: 

— ДОЛЖНЫ УДОВЛЕТВОРЯТЬ 
МИНИМАЛЬНЫМ ТРЕБОВАНИЯМ ПО 
АППАРАТНОМУ ОБЕСПЕЧЕНИЮ 
УСТАНАВЛИВАЕМОЙ ОПЕРАЦИОННОЙ 
СИСТЕМЫ; 


— ДОЛЖНЫ ИМЕТЬ ДИСК ОБЪЕМОМ 
РАВНЫМ ИЛИ БОЛЬШИМ, ЧЕМ 
КОПИРУЕМЫЙ РАЗДЕЛ ШАБЛОННОЙ 
МАШИНЫ, И ДОЛЖНЫ ИМЕТЬ ТАКОЙ 
ЖЕ HAL (HARDWARE ABSTRACTION 
LAYER) (ДЛЯ КЛИЕНТОВ, НА КОТОРЫХ 
УСТАНАВЛИВАЕТСЯ RIPREP ОБРАЗ); 


— ДОЛЖНЫ ПОДДЕРЖИВАТЬ РВЕ-ВООТ 
EXECUTION ENVIRONMENT (РХЕ) — 
ТЕХНОЛОГИЮ УДАЛЕННОЙ ЗАГРУЗКИ, 
КОТОРАЯ ПОЗВОЛЯЕТ КЛИЕНТСКИМ 
КОМПЬЮТЕРАМ ПОЛУЧАТЬ 
ЗАГРУЗОЧНЫЙ КОД ЧЕРЕЗ СЕТЕВОЙ 
АДАПТЕР. 


> = образы бывают двух видов. Одни предназна- 
чены для чистой установки и представляют собой 
файлы дистрибутива определенной ОС (CD-Ba- 
зе4-образ). Другие являются копией раздела (ко- 
торый должен быть и системным, и загрузочным) 
рабочей станции, которую необходимо клониро- 
вать (RIPrep-o6pas3). Процесс создания СО-Вазед-об- 
раза запускается на сервере RIS, а создание RI- 
РВер образа — на клиентской машине, причем на 
сервере необходим CD-Based-o6pa3 той операци- 
онной системы, RIPRep-o6pa3 которой создается. 
При установке RIS создается один CD-Based-06- 
раз. После установки можно добавить тот или 
иной тип образов. 


процедура установки RIS-cepBepa: 

1 УСТАНАВЛИВАЕШЬ КОМПОНЕНТ 
REMOTE INSTALLATION SERVICES ЧЕРЕЗ 
ВЫБОР КОМПОНЕНТА СИСТЕМЫ. 


2 ЗАПУСКАЕШЬ REMOTE INSTALLATION 
SERVICES SETUP ИЗ МЕНЮ 
ADMINISTRATIVE TOOLS. 


3 ОТВЕЧАЕШЬ HA ВОПРОСЫ МАСТЕРА, 
УКАЗЫВАЯ: 


— РАЗДЕЛ ДЛЯ СОЗДАВАЕМЫХ ОБРАЗОВ 
(ПУСТОЙ МТЕ$-РАЗДЕЛ НЕОБХОДИМО 
ПОДГОТОВИТЬ ЗАРАНЕЕ): 


— ОТВЕЧАТЬ ЛИ НА КЛИЕНТСКИЕ 
ЗАПРОСЫ СРАЗУ ПОСЛЕ УСТАНОВКИ 
ИЛИ НЕТ (ДО ПОЛНОЙ НАСТРОЙКИ 
RIS РЕКОМЕНДУЕТСЯ ЭТОГО 
НЕ ДЕЛАТЬ); 


— ПУТЬ К УСТАНОВОЧНЫМ ФАЙЛАМ 
ОПЕРАЦИОННОЙ СИСТЕМЫ, ОБРАЗ 
КОТОРОЙ ХОЧЕШЬ СОЗДАТЬ 
НА СЕРВЕРЕ (НЕОБХОДИМО УКАЗАТЬ 
ПУТЬ К ПАПКЕ 1386); 


—` НАЗВАНИЕ ПАПКИ, В КОТОРУЮ БУДУТ 
ЗАПИСАНЫ УСТАНОВОЧНЫЕ ФАЙЛЫ 
ДЛЯ ДАННОГО CD-BASED ОБРАЗА; 


~~ ОПИСАНИЕ ОБРАЗА ОС И ТЕКСТ 
ПОДСКАЗКИ, КОТОРЫЙ БУДЕТ ВИДЕН 
КЛИЕНТАМ РХЕ. 


Мастер выполняет необходимые действия и за- 
вершает процесс установки. 

После этого из оснастки Active Directory Us- 
ers and Computers можно произвести дальнейшую 
настройку RIS: 


1 НАСТРОИТЬ ИМЕНА, КОТОРЫЕ БУДУТ 
ДАВАТЬСЯ КЛИЕНТСКИМ МАШИНАМ, И 
УКАЗАТЬ, В КАКОЙ КОНТЕЙНЕР ACTIVE 
DIRECTORY БУДУТ ДОБАВЛЯТЬСЯ ИХ 
УЧЕТНЫЕ ЗАПИСИ: 


— ОТКРЫТЬ ОСНАСТКУ ACTIVE DIRECTORY 
USERS AND COMPUTERS И ВЫБРАТЬ 
ЗАКЛАДКУ REMOTE INSTALL В ОКНЕ 
СВОЙСТВ УЧЕТНОЙ ЗАПИСИ 
КОМПЬЮТЕРА, НА КОТОРОМ 
УСТАНОВЛЕНА СЛУЖБА RIS; 


™ НА ЗАКЛАДКЕ REMOTE INSTALL 
ВЫБРАТЬ ADVANCED SETTINGS, ДАЛЕЕ 
ЗАКЛАДКА NEW CLIENTS; 


“~~ ДАЛЕЕ МОЖНО ВЫБРАТЬ СПОСОБ 
ИМЕНОВАНИЯ КОМПЬЮТЕРОВ И 
УКАЗАТЬ РАЗМЕЩЕНИЕ УЧЕТНЫХ 
ЗАПИСЕЙ, ДОБАВЛЯЕМЫХ В ДОМЕН 
КОМПЬЮТЕРОВ. 


2 СОЗДАТЬ ДОПОЛНИТЕЛЬНЫЕ 
СО-ВАЗЕО-ОБРАЗЫ И СВЯЗАТЬ НОВЫЕ 
ФАЙЛЫ ОТВЕТОВ С СУЩЕСТВУЮЩИМИ 
ОБРАЗАМИ: 


—` ВЫБРАТЬ ЗАКЛАДКУ IMAGES 
И КНОПКОЙ ADD ЗАПУСТИТЬ МАСТЕР); 


— ВЫБРАТЬ МЕЖДУ СВЯЗЫВАНИЕМ 
НОВОГО ФАЙЛА ОТВЕТОВ 
С СУЩЕСТВУЮЩИМ ОБРАЗОМ 
И ДОБАВЛЕНИЕМ НОВОГО 
СО-ВАЗЕО-ОБРАЗА. 


При создании любого образа создается файл от- 
ветов, в котором находятся параметры, необходи- 
мые для установки. Можно либо создать свой 
файл ответов (с помощью утилиты зеиртог.ехе, 
которую можно извлечь из архива deploy.cab, рас- 
положенного на установочном диске) и связать 
его с соответствующим образом, либо изменить 
существующий файл (например, добавить в сек- 
цию [UserData] строку ProductlID = “ с лицензион- 
ным ключом), который располагается в соответ- 
ствующей образу папке в каталоге Templates с 
расширением sif. Подробную информацию о 
структуре и параметрах файла ответов можно по- 
смотреть в файле unattend.doc, который находится 
в архиве \SUPPORT\TOOLS\DEPLOY.CAB на уста- 
новочных дисках ОС семейства Windows 2000. 

Теперь осталось настроить на клиентском 
компьютере либо загрузку через сеть (если это РХЕ- 
enabled компьютер), либо загрузку с флоппи (если 
РХЕ эмулируется загрузочной дискеткой), авторизо- 
ваться с помощью доменной учетной записи и вы- 
брать из списка доступных необходимый образ. 

Не спеши радоваться, если компьютер удач- 
но прошел этап получения |Р-адреса, обнаружения 
сервера RIS, закачки программы авторизации в 
домене и выбора необходимого дистрибутива. 
Уже после того, как все это прошло, на первом 


этапе установки Windows (при начале копирова- 
ния файлов образа) может появиться сообщение 
типа: «Выбранный образ операционной системы 
не содержит необходимых драйверов для имею- 
щегося адаптера сети. Попробуйте выбрать дру- 
гой образ операционной системы. Если это не по- 
может, обратитесь к системному администратору. 
Продолжение установки невозможно. Для выхода 
нажмите любую клавишу». 

Можно попробовать решить проблему, скопи- 
ровав в папку i386 файлы *.inf uv *.sys сетевой карты. 
Если это не поможет, создать в 1386 папку 
$OEMS$\$1\Drivers\Nic, записать туда файлы драйвера 
сетевой карты и в файл ответов добавить строчки: 


К сожалению, и это может не помочь. Поэтому, 
если у тебя стоит задача распространить ОС на 
десятки новых машин, которые еще не закуплены, 
договорись с поставщиком и возьми на тестирова- 
ние одну машину, чтобы убедиться, что установка 
через RIS проходит без проблем от начала до KOH- 
ца. Только это может дать полную гарантию, что 
RIS дружит с подобным железом. 

По умолчанию любой пользователь может 
добавить в домен 10 компьютеров. Как увеличить 
это число, смотри в статье «Default Limit to Number 
of Workstations a User Can Join to the Domain» на 
сайте Microsoft. 

Ограничить пользователя в установке опре- 
деленных образов можно МТЕ$-разрешениями: 


— НА ЗАКЛАДКЕ IMAGES ВЫБЕРИ НУЖНЫЙ 
ОБРАЗ, ДАЛЕЕ PROPERTIES; 


—` ДАЛЕЕ PERMISSIONS...; 


“ HA ЗАКЛАДКЕ SECURITY 
ЛИБО РАЗРЕШАЕШЬ (ЧТО ПРАВИЛЬНЕЕ), 
ЛИБО ЗАПРЕЩАЕШЬ 
ОПРЕДЕЛЕННЫМ ГРУППАМ ЧТЕНИЕ 
И ВЫПОЛНЕНИЕ. 


Если ты выбрал для установки СО-Вазед-образ, то 
файлы дистрибутива сначала копируются на кли- 
ентскую машину, а затем начнется обычный про- 
цесс установки Windows со всеми этапами, с той 
лишь разницей, что параметры, запрашиваемые 
во время установки, берутся из файла ответов, 
расположенном на сервере RIS. Если какие-то па- 
раметры там не указаны или указаны некорректно, 
то мастер будет запрашивать их у пользователя. 

Если устанавливается RiPrep-o6pa3, то по- 
сле копирования файлов образа на клиентскую 
машину и рестарта запускается программа мини- 
установки, во время которой запрашивается уни- 
кальная информация, которая опять же берется из 
файла ответов с сервера RIS. 


New Answer File ог Installation Image 
‘You can associate а new ancwer file wilh an existing mage, of you can add а new 
itnage. 


О Они М ето ВКО: 
odd an enhrely new image’ 


@ Косые а new anawer le to an exiting mage 
This option copaes 3 new unattended Setup answer Шо to an сетку image, You can copy 
the answer file from an easing remote molallation server, choose an exsling sample answer 
fle, сх specily the path to an anewes file. 

С Add a neve instalation image 
This option copses the contents of 4 supported Windows OD and sssoointes 4 standard 
unaltended Setup answer file vith the enage. This option is only available af the server 
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Добавление файла ответов к образу 


> 1.4. автоматизация процесса установки — 
файл ответов. В некоторых случаях для автомати- 
зации процесса установки используются файлы 
ответов, которые содержат информацию, обычно 
запрашиваемую у пользователя с экрана. Файл 
ответов может применяться для автоматизации 
процесса установки с компакт-диска или по сети. 

Фактически, это текстовый файл, который мож- 
но создать в примитивном текстовом редакторе или с 
помощью утилиты зеиртог.ехе, которую можно из- 
влечь из архива SUPPORT\TOOLS\DEPLOY.CAB, 
расположенного на диске с дистрибутивом Windows. 

Кроме файла ответов обычно создается ба- 
за данных уникальных параметров (UDF) — тек- 
стовый файл, в котором хранятся индивидуальные 
настройки для каждого компьютера (имя компью- 
тера, 1Р-адрес и так далее). 

Подробную информацию о структуре и пара- 
метрах файла ответов и UDF можно посмотреть в 
файле unattend.doc, который находится в архиве 
\SUPPORT\TOOLS\DEPLOY.CAB на установочных 
дисках ОС семейства Windows 2000 или в файле 
помощи ref.chm, расположенном в TOM же архиве 
в дистрибутиве Windows ХР. При установке в па- 
раметрах winnt.exe или winnt32.exe можно указать 
путь к файлу автоматической установки, путь к 
файлу UDF и идентификатор компьютера, кото- 
рый будет использован для поиска уникальных па- 
раметров в UDF-cbanne. 

Теперь установка Windows, драйверов и 
приложений сводится к загрузке с компакт-диска 
или дискеты. 
> 2. размножение почкованием. А если не хо- 
чется устанавливать новую копию Windows из ди- 
стрибутива, а хочется клонировать уже имеющую- 
ся копию? Такое тоже возможно. 
> 2.1. общие принципы — зузргер. Если ты ка- 
ким-либо образом изготовишь полный клон систе- 
мы и попытаешься использовать его в сети, то по- 
лучишь много нехороших граблей — клонирован- 
ная система будет иметь то же имя компьютера и 
тот же уникальный идентификатор учетной записи 
компьютера в домене. Кроме того, установка кло- 
нированной системы на другой компьютер может 
не пройти из-за различий в оборудовании. Для 
устранения этих проблем предназначена утилита 
sysprep.exe из deploy.cab. Она сносит из системы 
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sysperp 

SYSPREP НИКАК НЕ МЕНЯЕТ 
НАСТРОЙКИ ПРОТОКОЛА TCPIIP, 

И ЕСЛИ ОБРАЗ СДЕЛАН С МАШИНЫ 
СО СТАТИЧЕСКИМ 1Р-АДРЕСОМ, 
КОНФЛИКТОВ IP-AQPECOB В СЕТИ 
ПОСЛЕ УСТАНОВКИ ОБРАЗОВ НА 
ДРУГИЕ МАШИНЫ НЕ ИЗБЕЖАТЬ. 
ПОЭТОМУ ЛУЧШЕ ПЕРЕД 
КЛОНИРОВАНИЕМ УСТАНОВИТЬ НА 
МАШИНЕ АВТОМАТИЧЕСКОЕ 
НАЗНАЧЕНИЕ АДРЕСОВ. 


tion wizard Thi Hizd 


rating system on 
mputer up-te 


Запуск мастера инсталляции клиента по сети 


уникальную информацию и конфигурирует систе- 
му таким образом, что при следующей загрузке 
будет запущена программа генерации новых уни- 
кальных параметров и программа мини-установ- 
ки, которая их донастроит. Как и программой пол- 
ной установки, программой мини-установки мож- 
но управлять через файлы ответов. 

Зузргер следует запускать перед любым кло- 
нированием системы, чтобы избежать накладок. 
> — 2.2. клонирование с помощью RIS — RiPrep. 
RIS поддерживает как СО-образы, так и клониро- 
ванные (RIPRep) образы. Чтобы создать Н!Ргер-об- 
разы, нужно с компьютера, образ ОС которого 
создается, запустить файл пргер.ехе, расположен- 
ный на сервере с RIS, и следовать инструкциям 
мастера создания образа. 

Перед тем, как копировать файлы образа на 
сервер, на клиентской машине запускается sysprep. 
> 2.3. ntbackup и набор аварийного восстано- 
вления. В Windows ХР и 2003 можно полностью 
сохранить состояние системы с помощью утилиты 
ntbackup. Для этого необходимо запустить ntbac- 
kup.exe, переключиться в расширенный вид и вы- 
брать Сервис/Мастер аварийного восстановления. 
Система подготовит архив со слепком системы и 
служебную дискету (диск аварийного восстано- 
вления). Для «восстановления» системы на дру- 
гом компьютере необходимо запустить процесс 
установки Windows, но вместо установки выбрать 
аварийное восстановление и использовать диске- 
ту аварийного восстановления. 

Ha Windows 2000 такой фокус не пройдет. При- 
дется сделать полный ntbackup всех файлов и состоя- 
ния системы, затем установить Windows и только по- 
сле этого произвести аварийное восстановление. 
> 2.4. клонирование дисков. Рассмотрим си- 
туацию, когда диск, с которого клонируется ОС, 
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www.ondemandsoftware.com — альтернатива утилите sysdiff 


www.vmware.com — виртуальная машина vmware server 


и диск, на который она клонируется, подключены 
к одному компьютеру. Конечно, сама по себе та- 
кая ситуация не встретится. Для этого надо сам- 
ому подключать диск к клонируемой машине, 
что займет много времени (нужно отключить 
диск от одной машины и вставить в другую, за- 
тем вернуть на место) и, вообще, не всегда воз- 
можно (например, если с машин нельзя срывать 
пломбы, олицетворяющие гарантию). Но предпо- 
ложим, что по тем или иным причинам другие 
способы невозможны или неудобны (мало ма- 
шин, не выполняются необходимые условия для 
установки через RIS или просто не хочется замо- 
рачиваться с сетевым вариантом). 

Можно, работая в операционной системе, 
клонировать ее саму (воспользовавшись для этого 
ее ресурсами) или создать загрузочный диск и за- 
пустить стороннюю программу для клонирования. 

Как скопировать содержимое системного и 
загрузочного раздела на другой раздел? Через 
Windows Explorer не получится. Во-первых, не ско- 
пируются файлы, используемые системой (напри- 
мер, пользовательская ветка реестра, находяща- 
sca в файле NTUSER.DAT в профиле пользовате- 
ля), во-вторых, не перенесутся МТЕ$ разрешения 
или кто-то держит систему на ЕАТ-разделе?). Вто- 
рую проблему можно решить с помощью утилиты 
копирования хсору, в которой с помощью ключа /О 
сохраняются МТЕ$-разрешения. Но первую про- 
блему это не решит... 
> — 2.4.2. пишем утилиту клонирования дисков сами. 
Не беда. Раз никто не догадался написать утилиту 
клонирования дисков прямо из-под Windows — 
сделаем это сами! Конечно, не будем сильно на- 
прягаться. Наша утилита сможет копировать дан- 
ные только между абсолютно идентичными же- 
сткими дисками. Зато одним из этих дисков может 
быть диск, на котором установлена копия Win- 
dows, в которой мы работаем прямо сейчас. При 
запуске без параметров утилита выдаст подсказку 
с примерами использования. 


ms 


самописная утилита клонирования дисков 
из-под работающей Windows: 
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2.4.3. клонирование для бедных. Как немно- 
го экзотический вариант можно рассмотреть кло- 
нирование с помощью зеркалирования. Это воз- 
можно только на серверных платформах и с дина- 
мическими дисками. Создаешь зеркало, дожида- 
ешься окончания синхронизации, извлекаешь 
диск-приемник и разрываешь зеркало. 

2.4.4. специальные утилиты. Для клонирова- 
ния из-под DOS можно воспользоваться програм- 
мой Norton GHOST от Symantec, в которой есть 
мастер создания загрузочной дискетки, содержа- 
щей 16-разрядную версию этой программы. С по- 
мощью GHOST можно: 


У 


1 СКОПИРОВАТЬ ДИСК НА ДИСК; 


2 СКОПИРОВАТЬ РАЗДЕЛ В РАЗДЕЛ 
(ИЗМЕНЯЯ РАЗМЕР РАЗДЕЛА-ПРИЕМНИКА); 


3 СКОПИРОВАТЬ В РАЗДЕЛ ПРЕДВАРИ- 
ТЕЛЬНО СОЗДАННЫЙ СНОЗТ-ОБРАЗ. 


У GHOST есть и сетевой вариант, при котором 
создается загрузочная дискетка с поддержкой се- 
ти. После этого с дискетки загружаются и маши- 
на-источник, и машина-приемник. Они указыва- 
ются друг другу (no IP-agpecy, который можно ли- 
бо прописать руками, либо назначить автоматиче- 
ски через DHCP), и запускается процедура клони- 
рования, при которой через сеть заливается об- 
раз на машину-приемник. У одной машины-источ- 
ника одновременно может быть только одна ма- 
шина-приемник. 

> — 3. виртуальный секс. Сделать разное железо 
одинаковым можно с помощью программной про- 
слойки, называемой виртуальной машиной. То 
есть ставишь операционную систему, на нее про- 
грамму виртуальной машины, которая сама рабо- 
тает через драйверы «настоящей» (хостовой) опе- 
рационной системы, а для пользователя виртуали- 
зирует другое железо, драйверы к которому вхо- 
дят в состав программного продукта. В эту вирту- 
альную машину и устанавливается новая (госте- 
вая) операционная система. Таким образом, мож- 
но сделать образ виртуальной машины (а можно и 
не один) и скопировать его средствами хостовой 
операционной системы на все машины. 

Пользователь загружает хостовую систему, 
запускает ПО виртуальной машины, выбирает 
среди них нужный и работает. Если при этом ра- 
скрыть приложение виртуальной машины на пол- 
ный экран, у пользователя будет полная иллюзия, 
что операционная система, в которой он работа- 
ет, — единственная на машине :). Причем вирту- 
ализация позволяет запускать гостевую систему 
Windows поверх Linux или FreeBSD поверх Win- 
dows. В любых сочетаниях. Количество одновре- 
менно работающих гостевых систем определяет- 
ся возможностями компьютера. 

При этом на хостовой машине пользовате- 
лю достаточно прав гостя, чтобы запустить вир- 
туальную, в которой его можно сделать хоть ад- 
мином. Этот способ подходит для ситуаций, ког- 
да достаточно мощные машины (ведь ресурсы 
тратятся и на реальную, и на виртуальную ОС) с 
разным железом используются для работы раз- 
ных пользователей, и, по определенным причи- 
нам, ОС необходимо часто менять (ситуация 
учебных курсов, когда одна группа занимается 
на одних виртуальных машинах, другая — на 
других, и если что-то поломалось быстренько за- 
ливается необходимый образ). 

Наиболее распространенные виртуальные 
машины: \/М\\/аге и Virtual РС (последняя от Micro- 
soft). VMWare Server можно получить бесплатно на 
официальном сайте (www.vmware.com) с 
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> active directory. Для организации домена 
необходимо иметь хотя бы базовые понятия служб 
каталогов, в частности Active Directory. Одним из 
достоинств AD является расширение числа объек- 
тов. Теперь их может быть до нескольких миллио- 
нов. Служба каталогов управляется с помощью 
консоли Microsoft Managment Console (Пуск > Вы- 
полнить > mmc). 

Одной из ключевых фигур AD является домен — 
элемент каталога, с собственным пространством 
имен и правилами безопасности, не распространяю- 
щимися за его пределы. Между доменами устана- 
вливаются транзитивные отношения доверия. На- 
пример: домен А доверяет домену В, а В, в свою оче- 
редь, доверяет домену С. Исходя из этих доверий, 
домен А будет доверять домену С, их отношения бу- 
дут называться транзитивными. Домены объединя- 
ются в деревья: первый домен называется «корнем 
дерева», остальные — дочерние, использующие 
пространство имен от первого домена. Деревья, 
объединяются в леса. Первый домен в первом дере- 
ве леса называется корнем леса. Каждое дерево на- 
следует имя корня, а лес — имя корневого домена. 

Леса характеризуются разным пространством 
имен и не имеют транзитивных отношений доверия. 
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ГЛАВНОЕ О ГРУППОВЫХ ПОЛИТИКАХ БЕЗОПАСНОСТИ 


ЭФФЕКТИВНО СПЛАНИРОВАННАЯ ГРУППОВАЯ ПОЛИТИКА В СОЧЕТАНИИ С УМЕНИЕМ 
ЕЕ ПРИМЕНЕНИЯ — ПРЕКРАСНЫЙ И ПРАКТИЧЕСКИ НЕЗАМЕНИМЫЙ ИНСТРУМЕНТ 
УПРАВЛЕНИЯ. НО ДАЛЕКО НЕ КАЖДЫЙ ИСПОЛЬЗУЕТ СР НА СТОЛЬКО, НАСКОЛЬКО 
ЭТО ВОЗМОЖНО. НЕ СОВСЕМ ВЕРНОЕ ПОНИМАНИЕ ПРИНЦИПОВ И МЕТОДОВ 
РАБОТЫ МЕШАЮТ ДОСТИГНУТЬ БОЛЬШЕЙ ЭФФЕКТИВНОСТИ. НА САМОМ ДЕЛЕ 
РАЗОБРАТЬСЯ И ПОНЯТЬ GROUP POLICY НЕ ТРУДНО. ГЛАВНОЕ — СТРЕМИТЬСЯ 
ПОНЯТЬ СУТЬ МЕХАНИЗМА И ИМЕТЬ ХОТЯ БЫ БАЙТ ФАНТАЗИИ... 


НАУМОВ ЮРИЙ АКА CRAZY_SCRIPT 


{crazy_script@vr-online.ru} 


Для управления пользователями и доменами в Ас- 
tive Directory используют две очень важные оснаст- 
ки — «Domains and Trusts» и «Users and Compu- 
ters». Причем вторая, предназначенная для ynpa- 
вления пользователями и группами, не работает и 
будет работать только если компьютер изолирован 
(на рабочих станциях и изолированных серверах). 
Ну а первая осуществляет работу с доменами: 
просмотр лесов, настройка режима работы. Под 
властью этой оснастки находится очень важная 
функция настройки доверительных отношений, 
о которых мы упомянули выше. Но это все теория... 
> GPOu Group Policy. Правила настройки раз- 
личных компонентов программного обеспечения в 
совокупности представляют собой групповые по- 
литики (дгоир ройсу) — по сути, основной инстру- 
мент для централизованного управления практи- 
чески всеми подсистемами и компонентами Win- 
dows. Политики могут применяться как к компью- 
теру (во время загрузки ОС), так и к пользователю 
(во время его входа в систему). Групповая полити- 


ка позволяет настраивать огромное количество 
разнообразных параметров операционных систем 
Windows, от внешнего вида рабочего стола поль- 
зователя до конфигурации сетевых протоколов. 
С помощью этой технологии можно производить 
централизованное развертывание программного 
обеспечения, что сэкономит время и силы. 
Фактически, СР не только используют преи- 
мущества AD, но и расширяют их. Настройки нахо- 
дятся в объектах групповой политики (GPO — 
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Узлы конфигураций 


установка оснасток 


ВООБЩЕ ОСНАСТКА — ЭТО САМЫЙ 
ОСНОВНОЙ КОМПОНЕНТ КОНСОЛИ ММС. 
РАЗНОВИДНОСТЕЙ ОСНАСТОК ВСЕГО 
ДВЕ: ИЗОЛИРОВАННЫЕ ОСНАСТКИ 

(В ОСНОВНОМ ТЕРМИН УРЕЗАЮТ 

ДО «ОСНАСТКИ») И РАСШИРЕНИЯ. 
ОТЛИЧИЕ В ТОМ, ЧТО ОСНАСТКИ ПОСЛЕ 
ДОБАВЛЕНИЯ ПРИКРЕПЛЯЮТСЯ 

К ДЕРЕВУ КОНСОЛИ. РАСШИРЕНИЯ ЖЕ 
УСТАНАВЛИВАЮТСЯ К СУЩЕСТВУЮЩЕЙ 
ОСНАСТКЕ И МОГУТ РАБОТАТЬ 

С ЕЕ ОБЪЕКТАМИ. УСТАНОВКА 
ПРОИСХОДИТ ПУТЕМ «КОНСОЛЬ > 
ДОБАВИТЬ/УДАЛИТЬ OCHACTKY...», 

В ПОЯВИВШЕМСЯ ОКНЕ ВЫБИРАЕМ, 
ЧТО НУЖНО И ЖМЕМ «ДОБАВИТЬ». 

ИЛИ ЧЕРЕЗ КОМАНДНУЮ СТРОКУ «ММС 
%SYSTEMROOT%\SYSTEM32\NAME.MSC». 


В ОДНУ КОНСОЛЬ МОЖНО 
УСТАНАВЛИВАТЬ СРАЗУ НЕСКОЛЬКО 
ОСНАСТОК И ДАЖЕ НЕСКОЛЬКО КОПИЙ 
ОДНОЙ (В ОПРЕДЕЛЕННЫХ СЛУЧАЯХ 
ЭТО ВЫРУЧАЕТ). ЕСЛИ КОМПЬЮТЕР 
ЯВЛЯЕТСЯ ЧАСТЬЮ ДОМЕНА, ММС ДАЕТ 
ВОЗМОЖНОСТЬ ЗАГРУЗКИ ОСНАСТОК, 
КОТОРЫЕ УСТАНОВЛЕНЫ ЛОКАЛЬНО, 
НО ДОСТУПНЫ ИЗ AD. 


Group Policy Object), которые в свою очередь могут 
ссылаться на сайты/домены/подразделения. Ре- 
дактирование GPO осуществляется с помощью 
оснастки «Редактор групповых политик» (дре- 
dit.msc). Объекты GP — локальный объект группо- 
вой политики и объект групповой политики доме- 
на. Сами GPO хранят свои настройки в контейне- 
pe GPC (Group Policy Container) и шаблоне GRT 
(Group Policy Template). Первый является объек- 
том AD, второй представляет собой папку с Ha- 
стройками, управляемую с помощью одного из 
расширений СР — административных шаблонов. 
> — узлы и расширения СР. При запуске Group 
Ройсу загружает корневой узел — СРО, привязан- 
ный к определенному контейнеру. Узел получает 
имя: Политика Имя_СРО[.Имя_домена.сот] 

Далее идет разделение пространства имен 
на 2 уровня, с помощью которых собственно и про- 
изводится настройка групповых политик. 

Узел «Конфигурация компьютера». Здесь 

содержатся параметры тех политик, кото- 
рые отвечают за работу компьютера. Политики 


Различие в создании системных политик 
Задача 


Установка политик 
для пользователей 
и компьютеров 
сайта 


Не применяется 


Средство Windows МТ 4.0 


Средство Windows XP 


Групповая политика, 
доступна посредством оснастки 
Active Directory — сайты и службы 


Установка политик 
для пользователей 
и компьютеров 
домена 


Редактор системной 
политики (poledit.exe) 


Групповая политика, доступная 
с помощью оснастки Active Directory — 
пользователи и компьютеры 


Установка политик 
для пользователей 
и компьютеров 


Не применяется 


Редактирование записи разрешений 
для действия «Применение групповой 
политики» на вкладке «Безопасность» 


подразделения диалогового окна свойств объекта 
групповой политики. 

Управление Для администраторов — сервер Сервер Systems Management Server 

программным Systems Management Server. и три компонента установки 

обеспечением Для пользователей — и сопровождения программ: 


компонентпанели управления 
«Установка и удаление 


программ» 


® Установка программного 
обеспечения, расширение 
«Групповая политика» оснастки. 

® Установщик Windows. 

® Компонент панели управления. 
«Установка и удаление программ». 


Создание безопасного Административные шаблоны 
в формате Windows МТ 4.0 
для редактора системной 


пользовательского 
интерфейса для 


Административные шаблоны 
в формате Windows ХР 
для групповой политики 


редактирования политики 
реестра 

Выполнение Мастер администрирования, Оснастки консоли управления ММС, 
основных диспетчер пользователей в частности, Active Directory — 
административных и диспетчер серверов пользователи и компьютеры, Active 
задач Directory — сайты и службы 


и «Групповая политика», а также 
их расширения 


+- 0х ев 


4 Покаяьные пользователи и груп. 
‘Sa Пользоевтели Г Учетная запись 
С Группы р ov Это учетная Dam 
Ветроенная 
нев 
[ис оноско проти для Гость ООО ЕЕ 
Новый пароль: 
Подтеержданне: | 


A Ебля шелктль кноску ОК, произойдет слвдующее: 
© — Знаучетная вопысь немедленно утратит доступ ко всем 


Установка пароля пользователя 


следят за работой ОС, задают параметры прило- 
жений, определяют работу системы безопасности. 
[2 Узел «Конфигурация пользователя». Вклю- 

чает в себя политики, отвечающие за рабо- 
ту пользователя. Слежение идет все за теми же 
параметрами приложений и системой безопасно- 
сти, а так же за пользовательскими сценариями 
входа/выхода. 

Ниже находятся дочерние узлы, расширяю- 
щие узлы конфигурации индивидуально для каж- 
дого. Индивидуальность проявляется в следствие 
различия параметров каждого из узлов конфигура- 
ции. Group Policy имеет следующие расширения: 


“ АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ 
(ADMINISTRATIVE TEMPLATES) 
ПОЛИТИКИ, БАЗИРУЮЩИЕСЯ 
НА РЕЕСТРЕ ОС. БЕЗ ТОГО ШИРОКАЯ 
ФУНКЦИОНАЛЬНОСТЬ СР МОЖЕТ 
ПРИМЕНЯТЬСЯ НЕ ТОЛЬКО 
К СТАНДАРТНЫМ ПАРАМЕТРАМ, 
СВЯЗАННЫМ С ОС, НО И К ДРУГИМ 
ОБЪЕКТАМ. 


“ ПАРАМЕТРЫ БЕЗОПАСНОСТИ 
(SECURITY SETTINGS) 
КАК НИ СТРАННО, СЛУЖАТ 
ДЛЯ НАСТРОЙКИ ПАРАМЕТРОВ 
БЕЗОПАСНОСТИ 
КОМПЬЮТЕРА/ДОМЕНА/СЕТИ. 


— УСТАНОВКА ПРОГРАММ 
(SOFTWARE INSTALLATION) 
НАЗНАЧАЕТ И ПУБЛИКУЕТ ПРОГРАММЫ 
ДЛЯ ПОЛЬЗОВАТЕЛЕЙ. 


— СЦЕНАРИИ (SCRIPTS) 
ОПРЕДЕЛЯЮТ ПРОЦЕДУРЫ START/STOP 
КОМПЬЮТЕРА, LOGIN/LOGOUT 
ПОЛЬЗОВАТЕЛЯ. СЦЕНАРИИ 
ПОЛНОСТЬЮ СОВМЕСТИМЫ С ЯЗЫКОМ 
WINDOWS SCRIPT HOST. 


“ ПЕРЕНАПРАВЛЕНИЕ ПАПОК 
(FOLDER REDIRECTION) 
ПЕРЕНАПРАВЛЯЕТ ОБРАЩЕНИЕ 
К СПЕЦИАЛЬНЫМ ПАПКАМ WINDOWS 
(DESKTOP, APPLICATION DATA, 

MY DOCUMENTS) B CETb. 


www.vr-online.ru/cscript/docs/ad4win2003.rar — ad на платформе win2003 
www.networkdoc.ru/files/insop/ad/adtechs.doc — техническое описание ad 
www.n-admin.com, www.hub.ru — портал для сисадминов 
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(С целью обеспечения целостности 

файлов они подписаны цифровой подписью. Это 
обеспечивает 

‘обнаружения изменений. 


Закрыть | „Дополнительно 


Проверка цифровой подписи 


> политики учетных записей. Практически все 
управление юзерами и группами осуществляется 
с помощью этой оснастки. Пользователь или груп- 
па представляют собой учетную запись, которой 
можно дать различные права и разрешения, опре- 
деляя таким образом их взаимодействие с доме- 
ном. Политика учетных записей (lusrmgr.msc) 
включает в себя политики паролей, блокирования 
учетных записей и др. 

Оснастка дает возможность полностью скон- 
фигурировать требования для групп и пользовате- 
лей: тах/т длину пароля, срок его действия, тре- 
бования к сложности. Но тут нужно обратить вни- 
мание на то, что все перечисленные настройки в 
ветке «Политика паролей» относятся не к одному, 
а сразу ко всем пользователям. После настройки 
длины пароля и срока его действия следует обра- 
тить внимание на хранение паролей. То есть когда 
у пользователя истекает срок действия пароля, 
ему предлагается его сменить. А что будет вводить 
юзер? Конечно, старый пароль. Для предотвраще- 
ния таких ситуаций нужно включить сохранение па- 
ролей: политика будет записывать все используе- 
мые юзером пароли и фиксировать их смену. Но 
здесь есть одно большое НО: хранение осуществля- 
ется с использованием обратимого шифрования, а 
практически это означает, что вообще без шифрова- 
ния. Поэтому здесь стоит выбирать: либо важнее 
приложение, либо защита пароля пользователя. 


www.sysadmins.ru — несомненно, лучший форум сисадминов 


> Локальные политики. Как мы уже говорили, 
существует два вида СРО. Локальные объекты 
групповой политики (Local Group Policy Object, 
LGPO) создаются сразу при установке OC и суще- 
ствуют независимо от того, является ли компью- 
тер частью домена или нет. Когда производится 
подключение, компьютер автоматически попадает 
под влияние СРО, определенных в домене. 
В следствие этого локальные параметры могут из- 
мениться. Рассмотрим по порядку состав локаль- 
ной политики: 


— ПОЛИТИКА АУДИТА. 
ОПРЕДЕЛЯЕТ, КАКИЕ СОБЫТИЯ 
БЕЗОПАСНОСТИ ЗАНОСЯТСЯ 
В ЖУРНАЛ КОМПЬЮТЕРА. 

САМ ЖУРНАЛ ПРОСМАТРИВАЕТСЯ 

С ПОМОЩЬЮ ОСНАСТКИ «ПРОСМОТР 
СОБЫТИЙ» (EVENTVWR.MSC). 

ЭТА ПОЛИТИКА МОЖЕТ БЫТЬ 

КАК ДЛЯ ЛОКАЛЬНОГО КОМПЬЮТЕРА, 
ТАК И ДЛЯ КОНТРОЛЛЕРА ДОМЕНА. 


— НАЗНАЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЯ. 
ОПРЕДЕЛЯЕТ, КАКИЕ ПОЛЬЗОВАТЕЛИ 
(ГРУППЫ) ОБЛАДАЮТ ПРАВАМИ 
НА ЛОКАЛЬНЫЙ ВХОД В СИСТЕМУ 
И НА ДОСТУП КОМПЬЮТЕРА ИЗ СЕТИ. 


Не стоит забывать о том, что применение несколь- 
ких политик может повлечь за собой конфликт 
между параметрами безопасности. Поэтому за- 
помни приоритет расположения объектов: подраз- 
деление; домен; локальный компьютер. 

> — политики открытого ключа. Шифрование ин- 
формации в политиках безопасности Windows 
осуществляется с открытым ключом (асимме- 
тричное шифрование). Суть его в том, что данные 
шифруются одним ключом, а расшифровываются 
другим, связанным с ним, но не совпадающим. 


Некоторые контейнеры групповой политики 


Контейнер Описание 


Сценарии 
(запуск/завершение) 


Содержит параметры «Автозагрузка» и «Завершение работы», 
предназначенные для указания файлов сценариев, которые 


выполняются при загрузке и выключении компьютера 


Политика паролей 


Содержит параметры, задающие ограничения и правила 


использования паролей, такие как минимальная длина пароля 
и срок действия пароля 


Политика блокировки 
учетной записи 


Содержит параметры, определяющие правила автоматической 
блокировки учетных записей при вводе неправильных паролей 


Параметры Содержит параметры, определяющие поведение системы 
безопасности безопасности, как при локальной работе пользователя, так и при 
взаимодействии компьютеров в сети 

Вход/выход Содержит параметры, определяющие поведение операционной 


из системы 


системы при загрузке компьютера и регистрации пользователя, 


а также ограничивающие возможности пользователя при выполнении 
некоторых операций 


У пользователя есть открытый (public key) и зак- 
рытый ключ (private key). Первый распространяет- 
ся свободно и дает возможность шифровать для 
тебя данные любому. Применение и распростра- 
нение этих двух ключей повлекло за собой возни- 
кновение новых технологий. Цифровые подписи — 
наиболее яркий пример использования шифрова- 
ния с открытым ключом. Положения технологии 
следующие: 


1 ВОЗМОЖНОСТЬ СОЗДАНИЯ 
ЦИФРОВОЙ ПОДПИСИ ИМЕЕТ ТОЛЬКО 
ВЛАДЕЛЕЦ СЕКРЕТНОГО КЛЮЧА. 


2 ИСТИННОСТЬ ЦИФРОВОЙ ПОДПИСИ 
МОЖЕТ ПРОВЕРИТЬ ЛЮБОЙ 
ПОЛЬЗОВАТЕЛЬ, У КОТОРОГО ИМЕЕТСЯ 
СООТВЕТСТВУЮЩИЙ ОТКРЫТЫЙ КЛЮЧ 
(SIGVERIF.EXE). 


3 ЦИФРОВАЯ ПОДПИСЬ СТАНОВИТСЯ 
НЕВЕРНОЙ ПРИ ИЗМЕНЕНИИ ДАЖЕ 
ОДНОГО БИТА ПОДПИСАННЫХ ДАННЫХ. 


Цифровая подпись либо связана с данными, ли- 
бо вообще передается отдельно. При этом под- 
писи никак не влияют на содержание данных. 
Самое главное и важное в цифровой подписи 
при распространении данных открытым текстом 
состоит в том, что получатель может проверить 
и удостовериться, что изменений в данных не 
было. Для этого существует служба распреде- 
ленной аутентификации, гарантирующая, что 
данные пришли от того, от кого надо. Но этих га- 
рантий мало. Нужно полностью удостовериться в 
том, что между открытым ключом и передавшим 
его человеком существует достоверная связь. 
Если это не так, может произойти подмена от- 
крытого ключа и получение доступа к данным. 
Применение так называемых сертификатов по- 
зволяет установить связь между открытым клю- 
чом и передавшим его лицом. Сертификат — это 
набор зашифрованных цифровой подписью дан- 
ных, содержащих подтверждение неизменности. 
Для управления ими используется специальная 
оснастка (certmgr.msc), позволяющая просма- 
тривать содержимое хранилищ для поиска своих 
сертификатов, а так же сертификатов служб или 
компьютеров. В сертификате содержится сле- 
дующая информация: 


1 КРИПТОГРАФИЧЕСКАЯ ПОДПИСЬ, 
ИДЕНТИФИЦИРУЮЩАЯ СОЗДАТЕЛЯ 
СЕРТИФИКАТА. 


2 ПОДТВЕРЖДЕНИЕ СВЯЗИ ОТКРЫТОГО 
КЛЮЧА С ЛИЦОМ, ПЕРЕДАВШИМ 
ДАННЫЕ. 


3 СОЗДАНИЕ СЕРТИФИКАТА ТЕМ 
ЦЕНТРОМ СЕРТИФИКАТОВ, КОТОРОМУ 
ДОВЕРЯЕТ ЛИЦО, ПРИНИМАЮЩЕЕ 
ДАННЫЕ. 


device lock 


КОМПАНИЯ «СМАРТ ЛАЙН ИНК» 
РАЗРАБАТЫВАЕТ ПРОДУКТ DEVICELOCK — 
СРЕДСТВО ЗАЩИТЫ ИНФОРМАЦИИ 

ОТ НЕСАНКЦИОНИРОВАННОГО 
ДОСТУПА. ПРОГРАММА РАБОТАЕТ 

С ГРУППОВОЙ ПОЛИТИКОЙ WINDOWS 
И ПОЗВОЛЯЕТ ОСУЩЕСТВЛЯТЬ АУДИТ 
ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ 

СО СМЕННЫМИ НОСИТЕЛЯМИ. 
DEVICELOCK ВКЛЮЧАЕТ В СЕБЯ ТАКИЕ 
ВАЖНЫЕ ДОПОЛНИТЕЛЬНЫЕ 

ФУНКЦИИ, КАК: 


* ФУНКЦИЯ АУДИТА, КОТОРАЯ 
ИНФОРМИРУЕТ СИСТЕМНОГО 
АДМИНИСТРАТОРА О ТОМ, КТО И КОГДА 
ИМЕЛ ДОСТУП К СМЕННЫМ НОСИТЕЛЯМ 
НА КОМПЬЮТЕРЕ. 

¢ ИНТЕГРАЦИЯ С ACTIVE DIRECTORY, 
КОТОРАЯ ПОЗВОЛЯЕТ СИСТЕМНЫМ 
АДМИНИСТРАТОРАМ УПРАВЛЯТЬ 
НАСТРОЙКАМИ ОЕ ЧЕРЕЗ ГРУППОВЫЕ 
ПОЛИТИКИ. АДМИНИСТРАТОРЫ МОГУТ 
УСТАНАВЛИВАТЬ DEVICELOCK И ЕГО 
НАСТРОЙКИ НА ВСЮ СЕТЬ, ИСПОЛЬЗУЯ 
СТАНДАРТНЫЕ ИНСТРУМЕНТЫ 
УПРАВЛЕНИЯ. 

¢ УСТАНОВКА ПРАВ ДОСТУПА, КАК ДЛЯ 
ИНДИВИДУАЛЬНЫХ ПОЛЬЗОВАТЕЛЕЙ, 
ТАК И ДЛЯ ГРУПП ПОЛЬЗОВАТЕЛЕЙ. 

¢ НАЗНАЧЕНИЕ ПРИВИЛЕГИЙ ДОСТУПА 
ПО КЛАССУ. 

° ВОЗМОЖНОСТЬ УСТАНОВКИ РЕЖИМА 
«ТОЛЬКО ДЛЯ ЧТЕНИЯ» 

И ЕЩЕ МНОГОЕ ДРУГОЕ. 


И все же, в открытом ключе есть один недостаток. 
Дело в том, что алгоритмы шифрования с откры- 
тым ключом, в отличие от секретного, требуют 
много ресурсов. Выход из этой ситуации разработ- 
чики нашли в комбинации двух алгоритмов: дан- 
ные шифруются с помощью секретного ключа, не 
отнимая лишнего времени, а секретный ключ, в 
свою очередь, шифруется открытым ключом и по- 
сылается вместе с зашифрованными данными. По- 
Ллучатель сначала расшифровывает секретный 
ключ, а затем с его помощью данные. 

В результате всех этих положений и правил 
возникает цепочка сертификатов, берущая свое 
начало с сертификата открытого ключа. Обо всех 
сертификатах, идентификаторах связи и о моде- 
ли в рамках статьи написать нереально. Кому ин- 
тересно, вполне может найти информацию само- 
стоятельно. 

Стандартом сертификатов, наиболее рас- 
пространенным сегодня, является ITU-T X.509. 
О нем и других протоколах сетевого взаимодей- 
ствия, в частности, о инфраструктуре открытого 
ключа, можно узнать из соответствующего курса. 


> политики безопасности IP. Несомненно, ад- 
мину просто жизненно необходима уверенность 
в безопасной передаче данных по сети. Трафик 
обязан быть защищенным от доступа лиц, не 
имеющих на это прав, от просмотра передавае- 
мых данных, от копирования и модификации. Ре- 
ализация безопасности IP в Windows основана 
на стандартах RFC, разработанных консорциу- 
mom Internet Engineering Task Force (IETF), pa6o- 
чей группой IP Security (IPSEC). Политика 6e30- 
пасности сначала требует аутентифицировать 
любой подключаемый компьютер, используя за- 
ранее переданный секретный ключ, а затем ши- 
фрует трафик. Исключение составляют лишь 
http(80) и https(443). По этим протоколам web-cep- 
вер должен принимать соединения от любых уз- 
лов. В Windows безопасность IPSec реализована 
в виде средства управления политик безопасно- 
сти для сетевого трафика. Она представляет со- 
бой набор фильтров, действие которых определя- 
ется исходя из требований безопасности. 
Неотъемлемой частью работы IPSec являет- 
ся протокол, с помощью которого устанавливаются 
доверительные отношения, согласование параме- 
тров безопасности и создается общий секретный 
ключ. Согласования, связанные с ключом, принято 
называть сопоставлением безопасности или ЗА 
(Security Association) и разделять на два типа: 


1SA ОСНОВНОГО РЕЖИМА 
ОБЕСПЕЧИВАЕТ ЗАЩИТУ САМОГО 
СОГЛАСОВАНИЯ IKE. 


2SA БЫСТРОГО РЕЖИМА 
ОБЕСПЕЧИВАЕТ ЗАЩИТУ ТРАФИКА 
ПРИЛОЖЕНИЯ. 


Настройка требований безопасности производит- 
ся при помощи достаточно гибкой настройки дей- 


— 
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ствия фильтра как в основном, так и в быстром ре- 
жиме. Подытожить все вышесказанное можно 
схемой этапов работы IPSec. 


1 ДАННЫЕ В ПРИЛОЖЕНИИ 
ПЕРЕДАЮТСЯ ФУНКЦИИ 
АУТЕНТИФИКАЦИИ И ОБЕСПЕЧЕНИЯ 
ЦЕЛОСТНОСТИ ПЛЮС ПОДДЕРЖКИ 
ЦИФРОВОЙ ПОДПИСИ; 


2 ШИФРОВАНИЕ ДАННЫХ 
ОТКРЫТЫМ КЛЮЧОМ; 


3 ДАННЫЕ ПЕРЕСЫЛАЮТСЯ ПО СЕТИ 
ЗАШИФРОВАННЫМИ ПАКЕТАМИ 
В ЗАЩИЩЕННОМ ТУННЕЛЕ; 


4 В ТУННЕЛЕ СНОВА ПРОИСХОДИТ 
ШИФРОВАНИЕ. НА ЭТОТ РАЗ 
ИСПОЛЬЗУЕТСЯ ТАК НАЗЫВАЕМЫЙ 
«КЛЮЧ СЕАНСА»; 


5 В КОНЦЕ ТУННЕЛЯ ИДЕТ 
ДЕШИФРОВКА С ПОМОЩЬЮ 
ЛИЧНОГО КЛЮЧА; 


6 ДАННЫЕ ДОБИРАЮТСЯ 
ДО КОМПЬЮТЕРА, И ПРОВЕРЯЕТСЯ 
ПОДЛИННОСТЬ ОТПРАВИТЕЛЯ; 


7 ПОЛЬЗОВАТЕЛЬ ПОЛУЧАЕТ 
СООБЩЕНИЕ. 


> _ правильная политика. Конечно же, на эту те- 
му можно писать (и, как не странно, пишут) толс- 
тенные книги без картинок и читать скучнейшие 
лекции. Но основная цель статьи — не разбор 
служб каталогов, не ознакомление с параметра- 
ми и установками, а разъяснение сути. Осталь- 
ное каждый может без труда изучить самостоя- 
тельно. Ну а если возникнут вопросы — помогу, 
чем смогу. Удачи! © 


> их 78/2 


“Yn Корень консоли\Монитор ТР-безопасности\95ЕВ =: в: :. 


(СЗ основной ражим 
Быстрый режим: 


USER - Статистика 1Р-безопасности 


Корень консоли 
в 3 Монитор 1Р-безопасности 
lf) USER 
Е2-С] Основной режим 
| {С Универсальные фильтры 
|] Специальные фильтры 


‚(С Политики ЖЕ Статистика IKE: Статистика IPSEC: 

‚ (Gi) Сопоставления безопасности — | Параметры | Статистика | | Параметры | Стать 
©) Быстрый режим: Активных запросов 1 Активных сопоставлени... 0 
|.) Универсальные фильтры Активных приемов 0 Разгруженные сопостав... 0 
ij специальные фильтры Ошибок запросов 0 Не законченные операц... 0 
foe реньы cee | iano £ 
{© сопоставления безопасности Размер кучи запросов 1 Повторная генерация кл... 0 
Размер кучи приема 0 Активных туннелей 0 
Ошибки согласования =O Сбойных пакетов SPI 0 
Получены недопустим... 0 Незашифрованных паке... 0 
Всего запросов 0 Непроверенных пакетов 0 
Всего получено SPI 0 Пакеты с определением... 0 
Анн: Дополнения по ключам 0 Послано байт (секретных) 0 
Обновлений ключей 0 0 


Средство управления политикой безопасности ip 


Получено байт (секретн... 


> — издатель-дистрибьютор-подписчик. Чаще все- 
го репликацию связывают с базами данных. При- 
чем не только с классическими базами, но и с таки- 
ми специализированными, как Active Directory. 
Но на этом мир не перевернулся: репликацию 
можно удачно использовать и для простых фай- 
лов, главное — правильный подход. 

Репликация базируется на трех понятиях — 
издатель, дистрибьютор и подписчик. Чтобы по- 
нять, что это означает, достаточно обратиться 
к нашей реальной жизни, где издатель выдает ка- 
кую-то информацию дистрибьютору, а тот рассы- 
лает ее подписчикам. Точно также и в компьютер- 
ной жизни. Но обо всем по порядку. 

Издатель — хранит источник базы данных, 
делая опубликованные материалы из таблиц базы 
данных доступными для репликации; находит и от- 
правляет изменения дистрибьютору. 

Дистрибьютор — это сервер, который содер- 
жит распределенную базу данных и хранит мета- 
данные, историю данных и транзакции. Роль ди- 
стрибьютора может быть разной и зависит от типа 
развернутой репликации. 

Дистрибьютор и издатель могут находиться 
на одном компьютере. Чаще всего нет смысла вы- 
делять для каждого из них отдельный сервер, 
но для большой базы данных и наиболее активных 


сайтов для оптимизации производительности 
можно расположить дистрибьютора на собствен- 
ном сервере. 

Подписчик — владеет копией данных и полу- 
чает изменения, произведенные издателем. В за- 
висимости от настроек репликации, подписчик мо- 
жет иметь право изменять данные и реплициро- 
вать их обратно издателю для репликации другим 
подписчикам. Такой подписчик называется обно- 
ВЛЯЮЩИМ. 
>  фильтруй базар. Возможно, для публикации 
нам понадобится поднабор таблицы как отдель- 
ной статьи. Это называется фильтрацией дан- 
ных. Фильтрация данных позволяет избавиться 
от конфликтов репликации, когда право обно- 
влять данные имеют несколько сайтов. Ты мо- 
жешь фильтровать таблицы вертикально, гори- 
зонтально или смешанно для создания отфиль- 
трованной порции данных. 

Вертикальный фильтр содержит поднабор 
колонок таблицы. Только реплицированные колон- 
ки отображаются подписчику. Для примера: верти- 
кальный фильтр можно использовать для публи- 


СЕКРЕТЫ РЕПЛИКАЦИИ 
БАЗ ДАННЫХ 


РЕПЛИКАЦИЯ — ЭТО НЕ ПРОСТО 
НОВОМОДНОЕ СЛОВО: В ПРАВИЛЬНО 
ОТШЛИФОВАННЫХ РУКАХ ЭТО УДОБНЫЙ 
И МОЩНЫЙ ИНСТРУМЕНТ. НЕКОТОРЫЕ 
СЧИТАЮТ, ЧТО РЕПЛИКАЦИЯ — ЭТО 
СИНОНИМ СИНХРОНИЗАЦИИ. ЕСЛИ 
ЗАГЛЯНУТЬ В АВВУУ LINGVO, ТО СРЕДИ 
ВОЗМОЖНЫХ ПЕРЕВОДОВ СЛОВА REPLI- 
САТОМ ТЫ НЕ УВИДИШЬ 
СИНХРОНИЗАЦИИ, ЗАТО БУДУТ ТАКИЕ 
СЛОВА КАК: ЭХО, ОТРАЖЕНИЕ, 
ДУБЛИРОВАНИЕ, ПОВТОРЕНИЕ, 
РАЗМНОЖЕНИЕ... ЭТИ СЛОВА ХОРОШО 
ОТРАЖАЮТ ДАННУЮ ТЕХНОЛОГИЮ И ТО, 
ЧТО МЫ БУДЕМ РАССМАТРИВАТЬ 
СЕГОДНЯ 


ФЛЕНОВ МИХАИЛ 
{http://www.vr-online. 
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кации всех колонок, кроме «Заработная плата» 
в таблице «Работники». 

Горизонтальный фильтр содержит поднабор 
строк таблицы. Подписчик получает только этот 
поднабор строк. Если информацию о левых дохо- 
дах не нужно реплицировать, то ее можно отфиль- 
тровать запросом. 

Возможно подписание на публикацию с по- 
мощью Push или Pop метода. Метод Push обычно 
используется в приложениях, которые должны от- 
правлять изменения подписчику как можно бы- 
стрее. Этот метод более предпочтителен для пу- 
бликаций, требующих высокой степени защищен- 
ности, где высокая загрузка процессора у дистри- 
бьютора не влияет на производительность. 

Метод Рор более подходит для публикаций 
с меньшей степенью защищенности и может под- 
держивать большое количество подписчиков, — 
например подписчиков Internet. 
> типы репликации. Существует три основных 
типа репликации: снимок, журнальный тип и сме- 
шение. Тип репликации назначается для каждой 
публикации. Таким образом, возможно исполь- 


зование нескольких типов репликации в одной 
базе данных. 

Репликация снимка распределяет данные 
напрямую как отображение на определенный мо- 
мент времени, без мониторинга изменений. Это 
самый простой тип, при котором происходит ба- 
нальное копирование снимка всех или только от- 
фильтрованных данных. Этот тип можно использо- 
вать в следующих случаях: 


—` ДАННЫЕ ИЗМЕНЯЮТСЯ СУЩЕСТВЕННО, 
НО РЕДКО; 


—` ПОДПИСЧИКУ ТРЕБУЮТСЯ ДАННЫЕ 
ТОЛЬКО ДЛЯ ЧТЕНИЯ; 


—` ВОЗМОЖНА БОЛЬШАЯ ЗАДЕРЖКА, 
ПОТОМУ ЧТО ОБЫЧНО ДАННЫЕ 
ОБНОВЛЯЮТСЯ ТОЛЬКО 
ПЕРИОДИЧЕСКИ; 


“ ПОДПИСЧИКУ ТРЕБУЕТСЯ 
АВТОНОМНОСТЬ. 


При репликации транзакций от источника к прием- 
нику поступают только изменения. Агент монито- 
рит изменения в журнале транзакций на замену 
реплицированных данных и переносит необходи- 
мые записи дистрибьютору. Агент дистрибьютора 
отправляет изменения подписчику. Прежде чем 
этот тип начнет работать, подписчику отправляет- 
ся полный снимок реплицированных таблиц, а за- 
тем он получает только изменения. 

Репликация транзакций может использовать- 
ся там, где необходимо, чтобы подписчик получал 
изменения с минимальной задержкой. Тип смеше- 
ния позволяет сайтам автономно изменять реплици- 
рованные данные. Позже изменения с сайтов слива- 
ются в одно целое. Этот тип не обещает целостно- 
сти транзакций, но он гарантирует, что все сайты 
сливаются в один результирующий набор. 
> репликация MS SQL Server. Очень удачно 
дана возможность репликации в MS SQL Server. 
Настройка проста, как три копейки, потому что 
ее легко сделать с помощью двух мастеров. Но 
есть подводные камни, о которых мастер не может 
рассказать, а мануалы просто умалчивают. Итак, 
давайте бегло пройдемся по процессу настройки 
репликации и сделаем упор на подводные булыж- 
ники, о которых все молчат как рыбы. 

Для начала необходимо создать издателя 
и дистрибьютора. Для этого на одном из серверов 
выбираем меню Tools -+ Replication + Create and 
Manage Publication. Для издателя я бы порекомен- 
довал использовать машину помощнее. Первое, 
что у нас попросит мастер — выбрать базу дан- 
ных. Выбираем, жмем Create РиБсаноп, и Ha cne- 
дующем этапе сервер предложит создать дистри- 
бьютора. По умолчанию дистрибьютором предла- 
гается сделать ту же машину. 

Тут появляется первый подводный камень: 
если дистрибьютор будет установлен удаленно от 


издателя (на другой машине), то SQL Server Agent 
не может работать от имени системного аккаунта. 
Почему? Агент должен иметь возможность авто- 
ризоваться на машине дистрибьютора и передать 
изменения, а для этого используется учетная за- 
пись, под которой работает агент. Под Local Ас- 
count авторизоваться нигде не удастся, поэтому 
изменения никуда не пойдут. 

После этого нам предложат сконфигуриро- 
вать самого агента вручную или автоматически. 
Если выбрать ручной режим, то количество ша- 
гов мастера резко возрастает, но они просты, 
и с минимальными знаниями английского ты в них 
разберешься. Если выбрать автомат, то остает- 
ся только указать мастеру требуемый тип репли- 
кации — снимок (Snapshot publication), транзак- 
ции (Transaction publication) или смешение (Mer- 
ge publication) — и указать необходимые табли- 
цы. Да, в репликации участвует не вся база, 
а указанные таблицы. Системные таблицы ре- 
плицировать незачем. 

После создания издателя необходимо соз- 
дать подписчика, и настройку можно считать за- 
вершенной. Во время создания подписчика ты смо- 
жешь настроить план выполнения, указать дни, 
время или промежутки, через которые нужно вы- 
полнять репликацию. 

Если ты настроил репликацию и решил пере- 
нести базу данных на другой сервер, то можешь 
забыть про перенос через резервное копирование 
и восстановление. Дело в том, что в резервную ко- 
пию не попадает информация о репликации. Тут 
приходится отключать базу Detach, копировать 
файлы на другой компьютер и подключать их за- 
ново Attach. 
> = золотой ключик. Следующая проблема, с ко- 
торой есть вероятность столкнуться — репликация 
ключевых полей. Если у нас они имеют тип Guid, 
то никаких проблем тут не будет, но если — Identi- 
ty, то предстоят серьезные проблемы. Дело в том, 
что автоматически увеличиваемые поля не могут 
корректно реплицироваться с настройками по 


General | Advanced | Alert System | Job System | Connection | 
= Service зацир account | 
$$, © System account 
© This accoynt: 
eo —_—«_—"| 
Mail session ] 
DM мые [te 


I~ Save copies of the sent messages in the "бег! Items" folder | 


Error log 

File name: _[\Program Fies\Microsoft SOL Е] View... | 
Г` Include execution trace messages 
Г White OEM File 


Net send recipient: 


Настройка учетной записи MS SQL Server Agent 


умолчанию, особенно при смешении, когда под- 
писчик может изменять данные и должен уметь 
возвращать их издателю. 

Допустим, что на двух компьютерах были 
созданы две разные записи с одинаковыми иден- 
тификаторами. Что делать серверу? Какую из за- 
писей выбирать? По идее, в результирующую та- 
блицу должно попасть обе записи, но изменять ID 
нельзя, особенно если таблица связанная, а две 
записи с одинаковым ключом невозможны. 

Проблема решается достаточно просто, нуж- 
но только выполнить следующие шаги: 


1 СОЗДАЕМ КОПИЮ БАЗЫ ДАННЫХ 
ИЗДАТЕЛЯ НА КОМПЬЮТЕРЕ 
ПОДПИСЧИКА. 


2 ОТКРЫВАЕМ ОКНО РЕДАКТИРОВАНИЯ 
ТАБЛИЦЫ ИЛИ С ПОМОЩЬЮ SQL 
ЗАПРОСА УСТАНАВЛИВАЕМ 

НА ИЗДАТЕЛЕ ДЛЯ КЛЮЧА 

НАЧАЛЬНОЕ ЗНАЧЕНИЕ 1, 

А ДЛЯ ПОДПИСЧИКА 1 000000. 


Pf Консоль Действие Вид Tools Окно Справка 
e+ а ха @ + L086 


| Northwind: Моими 


(4) Console Root 
=) ©] Microsoft SQL Servers 
= €J SQL Server Group 
= iy CVD (Windows NT) 
(+) С] Databases 
+ С] Data Transformation Ser 
# (С) Management 
=| © Replication 
= Publications 
$ Northwind:North 
{С Subscriptions 
=| 8 Replication Monitor 
= Publishers 
+ со 
+ (J Agents 
@ Replication Alerts 
С] Security 
# [1 Support Services 
(С Meta Data Services 


Ручной запуск репликации 


1 Item 
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Пользователь изменил имя 


DC1 
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Админ изменил имя 


DC2 


Проверка версии 
Проверка времени изменения 
Проверка @УЮ-значения 


Схема разрешения конфликтов 


Добавление 
пользователя Клиент Клиент 
Репликация 
DC1 DC2 
Оригинальная Реплицированная 
запись запись 


Репликация пользователя между двумя 
контроллерами доменов (DC1 и DC2) 


Все просто и красиво. Теперь при добавлении за- 
писи на издателе новые записи будут нумеровать- 
ся 1, 2, 3, 4..., а на подписчике 1000001, 1000002, 
1000003... Таким образом, записи пересекутся 
не скоро, и конфликты могут никогда не появить- 
ся, особенно если записи добавляются в таблицу 
не слишком интенсивно. Если же они добавляются 
интенсивно, то откажемся от автоувеличения и ис- 
пользуем @ЧЮ-поля в качестве ключа. 

Но и это еще не все. При создании подпис- 
чика нам предложат перенести всю схему с из- 
дателя. Это удобно, если структура таблиц раз- 
ная и их необходимо синхронизировать, но в нашем 
случае неприемлемо. Если ты поведешься на это 
предложение и ответишь «Yes», то схема издате- 
ля будет скопирована подписчику, и у обоих на- 
чальное значение ключа станет единицей, и все 
наши старания пойдут прахом, т.е. затрутся. Что- 
бы этого не произошло, жми «No» и наслаждайся. 
Главное, чтобы на подписчике структура таблиц 
была такой же, как и у издателя. 
> типы репликации. Active Directory, которая 
активно используется серверами Windows — это 
тоже база данных. Она может быть распределен- 
ной, когда в работе участвуют несколько серве- 
ров, и при этом пользователь должен иметь воз- 
можность войти на любой из них с одним и тем 
же паролем. Каким образом это сделать? Заре- 
гистрироваться на каждом сервере в отдельно- 


сти? Глупо и бессмысленно. И тут на помощь при- 
ходит репликация. Достаточно зарегистрировать- 
ся на одном сервере и прописать необходимые 
права доступа, — и вся информация будет репли- 
цирована куда надо. 

Репликация в АБ происходит автоматически 
и чаще всего особого вмешательства не требует, 
но требует хорошего понимания основной идеи. 
Если бы с Active Directory все было так просто, 
я бы не рассматривал эту технологию отдельно. 
Для начала нужно понимать, что для аутентифика- 
ции используется протокол Kerberos, и ответствен- 
ность за подлинность берет на себя контроллер 
домена. Когда ты заходишь на сервер, то имя и па- 
роль направляются серверу, который, в свою 
очередь, проверяет эти данные и, в случае удачи, 
выдает белый билет. Если что-то не так, билет ко- 
нечно не белый, но на его основе пользователь 
получает те или иные права. Если есть желание, 
но не хватает знаний, то советую поближе познако- 
миться с Active Directory и Kerberos, но не забывай, 
что наша задача — репликация. 

Если go Windows 2000 в сети мог быть 
только один контроллер домена, который хранил 
все самое важное и управлял репликацией (тог- 
да не было и Kerberos), то в нынешних версиях 
контроллеров может быть несколько. При этом 
все они будут равноправными. Это усложняет 
задачу по управлению процессом репликации 
и разрешения возможных конфликтов, но «окна» 
нашли выход. Контроллеры домена наблюдают 
друг за другом, определяя, какой из них в данный 
момент будет дистрибьютором, т.е. одарит других 
изменениями. 

Настраивать вручную соединения между 
контроллерами доменов в сети нет необходимо- 
сти, хотя и есть такая возможность. Серверы са- 
ми, через определенные промежутки времени, от- 
слеживают доступные контроллеры и хранят в па- 
мяти всю необходимую информацию. 

По умолчанию репликация происходит каж- 
дые пятнадцать минут. Через эти промежутки 
времени сервер направляет контроллерам доме- 


Select Distributor 
Choose а Distributor for this server because it it a new Publisher. 


Lhe Dieser te verve Well ео Fe оо dais beeen РЗ ond 
особы. 


© [eke СОТ own Distibutoe: SOL Server vill create э ditibution databate and slog 


© Use the following serves {lhe selected server must akeady be configured a2 а Distributor): 


< Hosea Orson Нор 


Мастер запрашивает создание дистрибьютора 


на сообщения о том, что есть изменения и, ко- 
нечно же, становится дистрибьютором. Осталь- 
ные участники репликации, получив подобное со- 
общение, подключаются к серверу и вытягивают 
данные. Сам дистрибьютор без запроса свои из- 
менения в сеть не выплюнет, чтобы злые хаке- 
ры перехватили подобный пакет. Просто нет 
смысла без надобности кидать в сеть такие 
важные данные — вдруг остальные контролле- 
ры домена упали. 

> конфликты в Active Directory. Благодаря то- 
му, что репликация выполняется с задержкой, сер- 
вер реплицирует обновления пачками. Все изме- 
нения в Active Directory накапливаются и в опреде- 
ленный момент рассылаются всем контроллерам 
домена. Это хорошо, но за счет задержки возмож- 
ны и проблемы. Допустим, что в определенный 


Select Publication Type 
Select the publication type that best supports the requirements of your application. 


Пр tases Se a Wa 
> updated snapshot. This в appropeiate when the: data need not 


С Jransactional publication = Data is usually updated at the Publither, and 
changes ae sent inciementally to Subscabers. Updates to Subscabers preserve 


transactional consistency and: 
С Merge publication ~ Data can be updated at the РЫБЫ or any Subscrber, 
By Changes are merged periodically at the Publisher. This supports moble, 
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Выбор типа репликации 


Initialize Subscription 
Speoly whether the subscophor(s} nerds 10 be wshakerd, and 0, when to stat 
the iaheation process 


Does Microsoft SQL Server need to indiaize the publication schema and data at the Subsciber 
when the subsctiption is created? 


Г Start the Snapshot Agere to begin the iniakzation process immediately 
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Запрос на копирование схемы 


промежуток времени, одновременно произошло 
изменение на двух контроллерах домена. Чьи из- 
менения будут реплицированы? Давай попробуем 
разобраться. 

Все объекты Active Directory имеют опреде- 
ленную версию, которая при создании получает 
значение единицы. После каждого редактирова- 
ния объекта версия увеличивается, поэтому если 
приходит просьба реплицировать запись с мень- 
шим номером версии, чем текущая, такие измене- 
ния откатываются. 

А что если серверу придет одновременно 
два предложения на репликацию от разных кон- 
троллеров, и при этом версии объектов будут оди- 
наковыми, но сами объекты разными? Такое мо- 
жет случиться, когда один и тот же объект с иден- 
тичной версией изменяется на разных контролле- 
рах. Оба контроллера увеличат версию, и она сно- 
ва будет одинаковой. В этом случае побеждает тот 
сервер и соответствующее изменение, которое 
было сделано последним. 

Самый крайний случай — когда версии оди- 
наковы, и даже время изменения идентично. Ко- 
нечно, вероятность этого слишком мала, но она 
есть, поэтому разработчики Active Directory в дан- 
ном случае предпочли выбирать то изменение, ко- 
торое пришло с сервера с большим глобальным 
идентификатором GUID. Конечно, этот глупый вы- 
бор может оказаться далеко не точным, но он хоть 
как-то решает конфликт. 

Каждый контроллер, получив изменения, 
пытается втулить их другим контроллерам нашей 
сети. Тут тоже есть проблема. Представим, что 
у нас три контроллера домена. Редактируем 
объект на первом, и он, конечно же, должен уве- 
домить об изменениях другие контроллеры. Они 
забрали эти изменения, и тут же второй контрол- 
лер пытается эти же изменения впихнуть обрат- 
но нам, или на третий домен, который уже заб- 
рал изменения. Что делать в этом случае? Все 
очень просто — у нас же есть версия изменений, 
и по ней можно узнать, нужно забирать запись 
или она уже реплицирована. 

Эта проблема частично решается и тем, что 
репликация может пройти не дальше трех кон- 
троллеров. Если сервер получил изменения 
третьим, то дальше он уже никому его передавать 
не будет. Передача репликации по цепочке проис- 
ходит, только если контроллер получил новую вер- 
сию объекта первым или вторым. 
> репликация AD через 56к. Реплицировать 
данные каждые 15 минут удобно и приятно, но толь- 
ко втом случае, если все контроллеры домена свя- 
заны между собой высокоскоростным соединени- 
ем. А что если два контроллера находятся в дру- 
гом районе или деревне, где они могут быть под- 
ключены к общей сети только по Гар? В этом 
случае трафик репликации может отнять слишком 
много ресурсов, и полосы пропускания не хватит 
на решение других задач. 


Чтобы этого избежать, можно, и даже нужно раз- 
делить эти серверы на отдельные сайты. Все 
контроллеры, подключенные по высокоскорост- 
ной связи, поместить в один сайт, а два удален- 
ных — в другой сайт. Внутри сайтов репликация 
может происходить по правилам, установленным 
по умолчанию, а вот между сайтами можно на- 
строить обмен так, чтобы не перегрузить полосу 
и оставить ее для передачи более важных дан- 
ных. Такое распределение ты без проблем смо- 
жешь настроить с помощью такой оснастки как 
AD Sites and Services. 

В качестве возможных вариантов сохране- 
ния трафика в technet от MS предлагаются нес- 
колько вариантов: 


—` РЕПЛИКАЦИИ ДАННЫХ ПО НОЧАМ; 


“ РЕПЛИКАЦИИ В ОБЕДЕННЫЕ 
ПЕРЕРЫВЫ; 


—` РЕПЛИКАЦИИ С БОЛЬШИМИ 
ПРОМЕЖУТКАМИ ВРЕМЕНИ. 


Мне импонируют первые два варианта, особенно, 
если сайты находятся в одной временной зоне. 

> ewe о репликации AD. Если хочешь узнать 
больше о репликации в Acive Directory, и нет про- 
блем с английским, то рекомендую скачать мате- 
риал по следующей ссылке: www.certmag.com/bo- 
okshelf/C0617953.pdf_ Это 92 страницы полезного и ха- 
лявного чтива. Если и этого мало, то бегом Ha tech- 
net от Microsoft. Там информация изложена не так 
удобно и последовательно, но хороших рекоменда- 
ций очень много. 
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Active Directory replication to fail. 


replication failures. 


Ruling Out the Obvious 


Intentional Disconnections 


Windows Server TeshCenter 
Windows Server 2009; Operations > Windows Server 2003 Operations > Active Directory Operations Guide > 
Troubleshooting Active Cirectory 


Troubleshooting Active Directory Replication Problems 3 


Active Dwectory rephcation problems can have several different sources. For example, Domain 
Name System (DNS) problems, networking issues, or security problems can all cause 


Inbound or outbound replication failure causes Active Directory objects that represent the 
replication topology, repkoation schedule, dornasn controllers, users, computers, passwords, 
security groups, group memberships, and Group Policy to be inconsistent between domain 
controllers. Directory inconsistency causes either operational failures or inconsistent results, 
depending on the domain controller that is contacted for the operation at hand. Active Directory 
depends on network connectivity, name resolution, authentication and authorization, the directory database, the replication 
topology, and the replication engine. When the root cause of a replication problem is not immediately obvious, determining the 
cause among the many possible causes requires systematic elimination of probable causes. 


Event and Tool Solution Recommendations 


Ideally, the red (Error) and yellow (Warning) events in the Directory Service event log suggest the specific constraint that 1s 
causing replication failure on the source or destination domain controller. If the event message suggests steps for a solution, try 
the steps listed in the event. The Repadmin tool and other diagnostic tools also provide information that can help you resolve 


Sometimes replication errors occur because of intentional disruptions. For example, when you troubleshoot Active Directory 
replication problems, rule out intentional disconnections and hardware failures or upgrades first, 


Оснастка User and Computers для настройки Active 
Directory 


No Active Directory, и репликации в частности, мо- 
гу посоветовать сайт only4gurus.com и конкретно 
ссылочку — http://www.only4gurus.com/v3/sitemap_active_di- 
rectory.shtml, По репликации здесь можно найти хо- 
рошие презентации, рисунки которых были взяты 
за основу данной статьи. Я лишь перевел эти ри- 
сунки на родной русский и немного подкорректи- 
ровал, чтобы они были нагляднее. 

> = итого. Надеюсь, читатели убедились, что ре- 
пликация — это не просто синхронизация, а более 
продвинутый и интеллектуальный шаг вперед. При 
правильном подходе этот шаг будет большим. 
Если ты хорошо разберешься с этой темой, то без 
проблем сможешь сделать ручную репликацию 
там, где ее нет изначально. Ведь не во всех базах 
данных реализована такая возможность. 

За кадром данной статьи осталась очень ин- 
тересная тема — репликация ЕхсНапде-сервера. 
У нее очень много общего с Active Directory и SQL 
Server, но есть и интересные нюансы © 
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> базовый компонент. Для домашней сети в Ka- 
честве базового компонента может использовать- 
ся или хаб (концентратор), или коммутатор (свитч). 
Отстой типа коаксиального кабеля рассматривать 
не будем, потому что из-за своих ограничений и не- 
удобств соответствующий разъем уже сложно 
встретить в сетевых картах, да и скорость связи ог- 
раничена всего 10 мегабайтами. 

На мой взгляд, хабы тоже устарели и стоят 
не намного дешевле коммутатора, но, на практи- 
ке, их используют, и очень часто. Поэтому эту те- 
му мы затронем, но везде, где на схемах будет 
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ПЛАНИРОВАНИЕ СЕТИ — ЭТО ПРОСТО! 


МНОГИЕ СЧИТАЮТ, ЧТО ПРИ СОЗДАНИИ СЕТИ ДОСТАТОЧНО ВЗЯТЬ ОБОРУДОВАНИЕ 
И ПРОСТО СОЕДИНИТЬ С НИМ ВСЕ КОМПЬЮТЕРЫ. КАК БЫ НИ ТАК! 


ФЛЕНОВ МИХАИЛ АКА HORRIFIC 


у. уг-оп |1 пе. ги} 


указан хаб, можно смело заменять его на комму- 
татор, и будет тебе счастье. Если у тебя нет ста- 
рых хабов, то и не используй их, а сразу закупай 
коммутаторы: благо у них цена не намного выше, 
и сейчас можно позволить себе эту железку. 
Хочу сразу заметить, что, планируя сеть на 
картах в 100 мегабит и используя при этом хаб, 
скорость скорее всего будет 10 мегабит. Больши- 


нство хабов не могут работать быстрее. Скорости 
10 и 100 — это идеал, которого на практике нере- 
ально добиться даже с коммутаторами, но нужно 
стремиться к лучшему! 

Выбирая оборудование, я предпочитаю стоеч- 
ные решения. Обтекаемые коробки выглядят луч- 
ше, но стоечное оборудование можно будет со вре- 
менем убрать в шкаф, объединить в стойку и т.д. 


> и ничего лишнего. Лишнего кабеля не быва- 
ет никогда. Для того, чтобы обезопасить себя от 
возможных переездов и нехватки кабеля, очень 
часто его отрезают с запасом. Действительно, 
никто не хочет перекладывать все заново, если не 
хватит одного метра до компьютера. Такие люди, 
наверное, не знают о существовании розеток, ко- 
торые можно использовать в качестве переходни- 
ков или вместо скруток для удлинения кабеля. 
Получается, что нет смысла оставлять в запа- 
се более 1 метра кабеля. Если наступит день, 
и этого запаса не хватит, всегда возможно удли- 
нить кабель с помощью установки розетки. Это бу- 
дет намного удобнее и красивее. Я вообще реко- 
мендую всегда использовать розетки возле каждо- 
го рабочего места, но об этом мы еще поговорим. 
Если ты все же решился оставить неболь- 
шой запас длинной в 15 метров, то никогда не 
скручивай его на стороне пользовательского 
компьютера. Лучше отвести для этого НЗ-ящичек 
на стороне коммутатора. Если что — можно всег- 
да подтянуть кабель, зато он не будет валяться 
мотками под каждым столом. 
> где тянуть кабель? Вечный вопрос! Очень 
часто встречаю сети, где кабель протягивают над 
потолком и к каждому рабочему месту спускают 
его в кабелегонах. Да, такое решение можно наз- 
вать хорошим с эстетической точки зрения, когда 
в помещении подвесной потолок, и за него можно 
спрятать все скрутки и даже хабы, но с точки зре- 
ния сопровождения такое решение неудачно. 
Простая перестановка мебели, и ты будешь в шо- 
ке, особенно, если кабели обрезаны под самый ко- 


решок, т.е. абсолютно без запаса. В этом случае 
придется выбирать одно из двух: 


1 ПЕРЕНОСИТЬ КАБЕЛЕГОН. ЭТОТ 
ВАРИАНТ ХОРОШ, ЕСЛИ КАБЕЛЕГОН 
НЕ НАГЛУХО ПРИКРЕПЛЕН К СТЕНКЕ, 
И ЕГО ЛЕГКО ОТКЛЕИТЬ И ПЕРЕНЕСТИ 
НА НОВОЕ МЕСТО. 


2 ОСТАВЛЯТЬ КАБЕЛЕГОН НА РОДИНЕ, 
А ВДОЛЬ ПОЛА ИЛИ ПЛИНТУСА 
ВЫТЯГИВАТЬ ОТКРЫТЫЙ 

(МОЖНО ЗАКРЫТЬ ВСЕ ТЕМ ЖЕ 
КАБЕЛЕГОНОМ) КАБЕЛЬ. 


Всех этих проблем можно избежать, если протя- 
нуть кабель внизу стен. Если уж очень сильно хо- 
чется увести его под потолок, то стоит ограничить- 
ся этим в одном углу. 

->  кабелегоны. Не стоит искать в каталогах со- 
лидных фирм названия «кабелегон», потому что 
по-научному они называются кабельными канала- 
ми. Это такая штука, в которую укладывают кабе- 
ли, чтобы они не мешались, не болтались, и все 
выглядело тип-топ. 

Существует масса разновидностей кабель- 
ных каналов, и они отличаются по качеству мате- 
риала, ширине, красоте, цвету, запаху и т.д. Са- 
мые лучшие каналы, с которыми мне приходи- 
лось работать — производства французской 
фирмы Legrand. Вот тут действительно ребята 
продумали все до мелочей, и в этой продукции 
придраться не к чему. Правда и стоит такой кабе- 


Одно имя для всех решений 


Цветные рамки Valena 


Серия Valene обогатилась норыыи циетными рамками 


Распределительные шкафы 
xe Новая сёрня распределительных шкафов XL? 
бери» 3 


eee in One By Legrand 


Это система, которая поозоляет создавать разпичные сценарии освездения м. 
‘правпемия # зависимости от времени сутож, от Ваших предпочтений: 


Презвнтация системы (Flash) 


Продужция 


Обзор всего cnextpa выпускаемой нами продукции. 


Дистрибьюторы 


Адреса и телефоны дистрибьюторов 


Обучение 


.2 Обучение специалистов. семинары для дистрибьюторов, монтажников, 
проектировщиков по продукции Легран. 


Legrand в СНГ 


Dd 


alll Представительства Легран в России и государствах ближнего зарубежья. 


Legrand в мире 


Информация о сети представительств LEGRAND no всему миру. Ссылка на. 


Дорогой, но очень хороший поставщик фурнитуры решений для сетевика 


легончик минимум в два раза дороже российско- 
ro «Made т «Sosednii Garaj». 

При выборе размера я бы порекомендовал 
широкий канал. Единственный его недостаток, 
с которым мне пришлось столкнуться при данном 
решении — однажды в кабелегон залезла мышка. 
Как она туда проникла — ума не приложу. Это жи- 
вотное не только перегрызло кабель, но и отбро- 
сило лапки, благодаря чему запах в кабинете был 
нездоровым. Пришлось разбирать всю конструк- 
цию, чтобы заменить кабель и похоронить вреди- 
теля со всеми почестями. Но не стоит обращать 
внимание на единичный случай проникновения 
мышки в кабелегон. Я не думаю, что каждый 
встретится с подобным в своей практике. (Не ду- 
маю, что проблема преувеличена — лично у меня 
дома крыса перегрызла сливной шланг стираль- 
ной машинки. Грызуны — очевидный враг компь- 
ютерщика! — прим. Лозовского). 

У широкого кабельного канала намного 
больше преимуществ: 


—` КАБЕЛИ ЛЕЖАТ СВОБОДНО И ДЫШАТ 
ЛУЧШЕ, ЧЕМ В ПАМПЕРСАХ; 


“ ЕСЛИ ПРЕДСТОИТ РАСШИРЕНИЕ, 
ТО Я УВЕРЕН, ЧТО НОВОМУ КАБЕЛЮ 
ВСЕГДА НАЙДЕТСЯ МЕСТО, И КЛАСТЬ 
ДОПОЛНИТЕЛЬНЫЕ КАБЕЛЕГОНЫ 
НЕ ПРИДЕТСЯ; 


— В ТАКОЙ КАНАЛЬЧИК МОЖНО 
ВПИХНУТЬ НЕ ТОЛЬКО UTP, 
НО И КАБЕЛИ НА 220, ТЕЛЕФОННЫЙ 
ШНУР И ЕЩЕ МНОГО ЧЕГО 
ИНТЕРЕСНОГО. 


> = опустить ниже плинтуса. Если тянуть кабель 
вдоль стен, то лучше всего делать это на 15-20 
сантиметров выше плинтуса. Если кабелегон уз- 
кий, то разрезы для вывода кабелей лучше делать 
внизу. В этом случае, если предстоит переезд на 
10 метров в сторону — сделаем новую дырку вни- 
зу кабелегона и выведем конец кабеля туда. Ста- 
рую дырку даже заделывать не нужно, потому что 
она внизу, и видно ее не будет. 

> — розетки. Не стоит экономить на таком удоб- 
HOM аксессуаре, как розетка для RJ-45 кабеля. 
Да, один экземпляр такого аксессуара хорошего 
качества стоит около 300 py6., но зато какая эсте- 
тичность и удобство от использования — деньга- 
ми это не оценить! Можно ограничиться не экра- 
нированной розеткой от популярной фирмы 
NoName за 50 руб. В большинстве случаев ее 
будет достаточно. 

Чем примечательны розетки? Допустим, что 
мы столкнулись с классической задачей переме- 
щения стола. В этом случае не нужно удлинять 
весь кабель от коммутатора до компьютера и пе- 
рекоммутировать весь этаж, достаточно взять бо- 
лее длинный кабель от розетки до компьютера, 
и никаких проблем. 


42 | OKOHH bi 


Обязательно загляни Ha hub.ru 


Тип розетки зависит от того, какой кабелегон мы 
используем. Если он узкий, то розетка должна 
быть в виде отдельной коробки, которую можно 
закрепить немного ниже кабелегона. В принципе, 
такое решение достаточно удобно и приемлемо. 
Но более эстетичным будет использование 
широкого кабелегона. Специально для таких ре- 
шений есть розетки, которые вписываются прямо 
в сам кабелегон и выглядят более чем достойно. 
Если не стесняют финансы, то лучше выбрать это 
решение. К тому же, чаще всего такие розетки об- 
ладают очень хорошим свойством — разъем зак- 
рывается, поэтому, если розетка не используется, 
то разъем не пылится. Не забывай, что для того, 
чтобы попки были сухими и чистыми, их не обяза- 
тельно сушить и чистить, их просто нужно содер- 
жать в чистоте и не оставлять открытыми. 
> расположение компьютеров. По поводу рас- 
положения компьютеров рекомендовать что-то бес- 
полезно. В домашних условиях железный друг ста- 
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Предполагается, что 
ты уже знаком с ос- 
новными функциями и 
особенностями систе- 
мы. Это не учебник по 
UNIX, но книга доступ- 
но рассказывает о 
том, как автоматизи- 
ровать рутинную рабо- 
Ty и создать команд- 
ные файлы, которые 
повысят производи- 
тельность. В UNIX так 
много команд, что для 
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вится там, где есть место или удобно работать. На 
работе мы стремимся установить монитор так, чтобы 
его не видел начальник и проходящие мимо зеваки. 
Сетевое оборудование чаще всего устанавли- 
вают там, где есть розетка в 220 Вольт, где есть 
место, и где его удобно обслуживать. Все эти три 
фактора достаточно важные, но все же не стоит за- 
бывать о расширяемости. Длина одного сегмента 
кабеля не бесконечна. Я интересуюсь сетями и ре- 
гулярно просматриваю то, что рекомендуют произ- 
водители оборудования при построении сетей. Ес- 
ли объединить личный опыт и рекомендации желе- 
зячников, то можно выделить следующие решения: 
о Сеть для дома. Домашняя сеть чаще всего 
строится в многоэтажных домах, где на этаже 
находятся четыре квартиры. Получается, что строи- 
тельство должно быть вертикальным. Над каждым 
подъездом (в Питере почему-то подъезды называют 
парадными) устанавливаем по коммутатору, и все 
компьютеры этого подъезда подключаем к нему. 
Даже если где-то устанавливается два компьютера, 
не стоит подключать их из другого подъезда, так 
как в последствии перекоммутация может отнять 
больше усилий и доставить больше проблем. Лучше 
потратиться на лишний коммутатор. 
[2 Офисная сеть. Здесь компьютеры чаще все- 
го распределены горизонтально. В офисных 
зданиях на одном этаже может быть по 20 кабине- 
тов, и в каждом из них — по 5 компьютеров. Здесь 
логичнее строить сеть горизонтально. На каждом 
этаже устанавливаем по коммутатору и соединя- 
ем все компьютеры этажа. Вот тут серьезный воп- 
рос с расположением коммутатора. Идеальный 
вариант — расположить сетевое оборудование 


выполнения одной за- 
дачи очень часто мож- 
но пойти разными пу- 
тями. В книге показа- 
ны нестандартные и 
новые идеи, позволяю- 
щие расширить и сис- 
тематизировать ис- 
пользование разных 
функций. Рассмотрен- 
ные примеры были 
протестированы в раз- 
ных версиях системы, 
так что проблем сов- 
местимости быть не 
должно. 


— 


Exchange 
Server 


в центре этажа, чтобы кабели до самой дальней 
точки не были слишком длинными. Если компания 
располагается на нескольких этажах, то чаще все- 
го расположить сетевое оборудование в центре не 
удается. В этом случае можно использовать два 
коммутатора в противоположных точках этажа. 

Это наиболее распространенные решения 
для простых офисов и домов. Если ты собираешься 
осетенять такую организацию, как Газпром, то тут 
уже структура намного сложнее, и одними коммута- 
торами не отделаешься. Возможно, что придется 
внедрять маршрутизаторы и другое оборудование. 
> слабое звено. Как известно, скорость связи 
определяется скоростью самого слабого звена. 
Если компьютеров много, а сервер один, то ско- 
рость обмена информацией с сервером будет за- 
висеть от количества пользователей, одновремен- 
но работающих с этим сервером. Скорость работы 
коммутаторов и их пропускную способность в дан- 
ном случае учитывать не будем, к тому же, произ- 
водители утверждают, что их оборудование спо- 
собно нормально работать при максимальной наг- 
рузке и даже с большим запасом. 

Теперь представим, что к одному серверу 
обращаются сразу 100 компьютеров по каналу 
10 мегабит. Если равномерно разделить скорость 
канала на всех, то каждый будет работать на 
100 килобит. А если учесть, что 10 мегабит — это 
идеальная скорость, которая на практике недости- 
жима, то реальная скорость будет еще ниже. 

Что делать в этом случае? Можно обновить 
оборудование до гигабитного, но такие сетевые 
карты стоят не дешево. Обновление 100 компью- 
теров плюс сетевого оборудования влетит в копе- 
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Сценарии — быстрый 
способ заставить 
компьютер выполнять 
набор инструкций. 

В книге ты найдешь 
много полезных сцена- 
pies, которые помогут 
тебе выполнять множе- 
ство трудоемких и час- 
то встречающихся за- 


и сервер сценариев 
Windows Script Host 
(WSH). Поскольку мно- 
гие сценарии достаточ- 
но объемны, автор 
поместил их на своем 
сайте — www.jesseweb.com. 
Ты научишься 
работать с альтерна- 
тивными методами: 
Scriptlt или Autolt. Книга 
не страдает общей бо- 
лезнью других анало- 
гичных, и все примеры 
реально пригодятся 
на практике. 


ечку. Но есть выход дешевле: можно заменить 
только коммутаторы и сетевую карту сервера. 
В этом случае связь между сервером и коммута- 
тором будет гигабитной, а между коммутатором 
и компьютерами — только 10 или 100 мегабит. 
Тогда 100 компьютеров смогут работать со ско- 
ростью в мегабит. Обновление сетевых карт кли- 
ентских компьютеров не даст большого прироста 
в производительности, потому что если с серве- 
ром работает хотя бы 10 человек, более 100 мега- 
бит вы не получите. 

Гигабитная карта в клиентском компьютере 
в любом случае лучше, чем в 100 мегабит, но зат- 
раты на ее приобретение не будут оправданы. 
>» — серверы. Я противник решений «все в одном», 
когда один сервер выполняет множество задач. 
Прошли те времена, когда серверы стоили дорого, 
а программное обеспечение в нашей стране не сто- 
ило вообще ничего:). А если серьезно, то если сер- 
вер одновременно является базой данных, WEB- 
сервером, почтовиком и т.д., то о масштабируе- 
мости такого решения можно только мечтать, да 
и уровень безопасности очень низок. Если появит- 
ся ошибка в одном из сервисов, то хакеру, проник- 
нувшему на сервер, будет доступно все. 


Выберите ПК, который 


Если так прикинуть, то наибольших ресурсов тре- 
бует только база данных. \\!ЕВ-сервер и почтовик 
под управлением Linux вполне способны работать 
даже на стандартном компьютере, если конечно 
у тебя не хостится google или Microsoft. Корпора- 
тивному \\/ЕВ-серверу будет достаточно второго 
пентиума или даже первого Pentium 100. 

Если каждый сервис разнесен по физичес- 
ким серверам, то взломав \\МЕВ-сервер, хакер 
не получит доступа к корпоративной базе данных. 
> интернет. Если ты решился выделить под 
каждую задачу свой сервер, то для сетевого экра- 
на и проксика ты обязан выделить отдельную ма- 
шину. Именно через нее будет происходить доступ 
в Сеть и обратно. Таким образом, чтобы взломать 
WEB-cepsBep, злоумышленнику придется сначала 
пройти через сетевой экран. Если этот экран пра- 
вильно настроен и не дозволяет ничего лишнего, 
то проникновение сильно усложняется. 

Чтобы проще было настраивать политику бе- 
зопасности на сетевом экране, всегда действуй от 
запрета. Если \\/ЕВ-сервер используется только для 
корпоративных нужд, он не должен быть виден из 
интернета. Если у тебя два \\ЕВ-сервера — публич- 
ный и корпоративный (или просто для внутреннего 


принёсет 


больше пользы Вашему бизнесу. ‚ 


ТАКСА SuperLine на базе 
двухъядерного процессора 

Intel® Pentium® О 

предоставляют дополнительные 
вычислительные ресурсы, которые 
необходимы в современной 
требовательной среде. 


pt Centrigg Logo, Intel 


RGA. 8: 


использования), то их лучше разнести по разным ма- 
шинам. Таким способом проще будет управлять по- 
литиками и проще будет следить за каждым из них. 
Если к внутреннему серванту запрещен дос- 
туп извне, то это не значит, что его не нужно об- 
новлять. Это самая распространенная ошибка. Ес- 
ли хакер получит доступ к одной из машин сети, то 
через нее он проникнет на запрещенный сервер. 
Обновлять софт и латать дыры нужно абсолютно 
на всех серверах. Тем более что даже ближайший 
сосед может оказаться злым хакером. Никогда 
и никому не доверяй. 
>» — итого. Заморочки есть везде и всегда, а во- 
зиться с кабелями — занятие не из самых инте- 
ресных, по крайней мере, для меня. Не люблю пе- 
рекладывать кабели и что-то переделывать: инте- 
реснее строить с нуля и делать это хорошо. Неда- 
ром Intel и Del вовсю продвигают свои идеи бесп- 
роводных соединений. С каждым днем к этой идее 
присоединяется все больше производителей 
и офисов. Мы уже сидим Ha WiFi, который избав- 
ляет нас от лишних розеток и кабелей, а ты? 
Но это уже совсем другая история. Сначала нужно 
преодолеть фактор страха перед незащищен- 
ностью старых протоколов WiFi © 


Se] 
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о ЦАРЬ-ХОСТИНГ |2 СВЕРХДЕРЖАВНЫЙ СЕРВЕР 


царь 
ХОСТИНГ 


> — выбор ОС. На самом деле вариантов не так 
уж и много. Windows, Linux, BSD, Solaris. У каждой 
из этих операционок в плане реализации хостинга 
есть свои плюсы и минусы. \\/Ипдо\м$ дает нам под- 
держку ASP и еще некоторых М$-оту технологий 
и визуально несложное администрирование, но, в 
то же время, накладывает существенные ограни- 
чения на производительность и увеличивает наши 
затраты. Linux — достойная кандидатура, но оби- 
лие багов в ядре и наличие в паблике вполне ра- 
бочих эксплойтов стало уже закономерностью. $0- 
laris — хорошая система, однако платная; встанет 


о ТАЙНАЯ КАНЦЕЛЯРИЯ 


АДМИНИСТРИРОВАНИЕ 
ХОСТИНГА — OT «A» ДО «Я» 


НА СЕГОДНЯШНИЙ ДЕНЬ СИТУАЦИЯ НА ХОСТИНГОВОМ РЫНКЕ РУНЕТА НАПОМИНАЕТ 
НОВОГОДНЮЮ ЯРМАРКУ: ОГРОМНЫЙ ВЫБОР ТАРИФНЫХ ПЛАНОВ, ШИРОКИЙ 
АССОРТИМЕНТ РАЗНООБРАЗНЫХ УСЛУГ. ЛОГИЧНО БУДЕТ ПРЕДПОЛОЖИТЬ, ЧТО 
ЭТО ОБЪЯСНЯЕТСЯ ДОСТУПНОСТЬЮ ТЕХНОЛОГИИ, ОДНАКО ЭТО НЕ СОВСЕМ ТАК. 
ДЕЛО В ТОМ, ЧТО СУЩЕСТВУЕТ МНОЖЕСТВО ГОТОВЫХ ХОСТИНГОВЫХ РЕШЕНИЙ, 
УСТАНОВИТЬ КОТОРЫЕ НЕ СОСТАВИТ ТРУДА — БЫЛИ БЫ ДЕНЬГИ. СЕЙЧАС МЫ 
ПОСТРОИМ СВОЙ ХОСТИНГ, — С САМОГО НАЧАЛА, И НЕ ПРИБЕГАЯ К ПЛАТНЫМ 
УСТАНОВОЧНЫМ ПАКЕТАМ ВРОДЕ CPANEL 


МР 
{root@securitylab.co.il} 


— ВЕРСИЯ 4.* — OLD STABLE (СТАРАЯ 
СТАБИЛЬНАЯ ВЕТКА). ПОСЛЕДНЯЯ 
ВЕРСИЯ — 4.11. — ПО СУТИ, ОНА УЖЕ 
НЕ ПОДДЕРЖИВАЕТСЯ. 


не на любое железо, да и с некоторым софтом 
возникают траблы. Остается BSD. Из BSD я лучше 
всего знаю FreeBSD, поэтому строить наш хостинг 
мы будем на примере этой ОС. 

> — нелегкий выбор. Теперь необходимо сделать 
выбор версии операционной системы. На сегод- 
няшний день существует всего три основных вет- 
ки FreeBSD: 


—` ВЕРСИЯ 5.* — LEGACY PRODUCTION 
(СТАРАЯ PRODUCTION-BETKA). 
ПОСЛЕДНЯЯ (НА МОМЕНТ 
НАПИСАНИЯ СТАТЬИ) 
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ACPI APIC Tab 
Tinecount 
CPU: Intel( Pentium(R) 4 CPU 2.80GHZ (: 7-1 G-class CPU) 
Origin winelntel та 
Features> OxbFebFbEF<FPU UME ,DE ,Р5 
sHTT,T 


X8,APIC,SEP MIRA PGE MCA CHOU PAT ,PSES6 ,CLELUSH DTS ,ACPE Me 


PUS 
288 (1029 HD) 
(996 MB) 
) to 2 
> args 0-23 эп motherboard 
math | Pssor> on mothert 
INT . 
acpi: 
acpi: Po 
Timecountler 45 He quality 1660 
port 0x468-Ox40b on acpi 


24-bit timer at 3.579545 


acpi_ti 
cpud: <At PUD on acpid 

acpi_button Power Button> on acpid 

peibd: <ЯСРТ st-PCI bridge> port Oxcf8-OxcFF on acpid 

pei: <АСРЕ P оп peiba 

agp: <Intel to ALP bridge> men UxFDOUNNON-OxFb/FEFEE at device 0-0 on poi 
peibt PCI-P at device 1.0 on peid 


“idge> at device 30.0 on pcid 
on peib2 
port вх 9400-0x940F ,0x9000-0x903F nen 9х79000000 OIF FFE, Oxf 902 
9000- OxF9 
i: failed: rid 0х20 is memory, requested 4 
channel 80 on atapci® 
channel #1 on atapeid 
channel #2 on atapcid 
hannel #3 on atapcid 
splay, UGA> at device 5.0 (no driver attached) 
и 1695 Single-chip Gigabit Ethernet> port 0ха000-ОхадЕЕ men OxF9022000-OxF9O220FF irq 23 at device 9.0 on pei 
NIT bus> on red 
81695/81105 media interface> on miibusé 
rgephyo: 1 ‚ 10baseT-FOX, 100base 100baseTX-FDX, 
Ethernet 2 5: 0:40: FN Zb1 she say 
Con oC as 4 к XL> port OxdS00-Oxa47F mem OxF9 O29 000- Oxt9 0 
WIT bus 


rgephyo 
100ObaseTX, 1000baseTX-FDX, 


1 at device 10.0 on рс12 


media interface> on miibust 
‚ 100baseTX FOX, 3 


Вывод утилиты dmesg 


ВЕРСИЯ — 5.4. СТАБИЛЬНЫЙ, ЗАРЕКО- 


МЕНДОВАВШИЙ СЕБЯ РЕЛИЗ. по формуле: 


— ВЕРСИЯ 6.* — PRODUCTION 
(PRODUCTION-BETKA). 
РАЗРАБОТЧИКИ НЕОЖИДАННО 
СДЕЛАЛИ ПРЫЖОК С 5.4 ДО 6.0, 

НЕ ВНЕСЯ НИКАКИХ 
РЕВОЛЮЦИОННЫХ ИЗМЕНЕНИЙ. 
CHANGELOG 6.0 ДОВОЛЬНО ВЕСОМЫЙ, 
НО НА ПРАКТИКЕ — КРОМЕ 
НЕБОЛЬШОГО ПРИРОСТА 
ПРОИЗВОДИТЕЛЬНОСТИ 

HA SMP ЯДРАХ — НИЧЕГО НЕ ДАЕТ. 


Swap = количество оперативки * 2+20-30MB 
Я разбил диск следующим образом: 


—/— 512 МБ 
™ SWAP — 1124 MB 
—_ /TMP — 512 MB 
— /USR — 30 ГБ 
— /VAR — 30 ГБ 
“ /USR/HOME — ВСЕ ОСТАЛЬНОЕ, 
В МОЕМ СЛУЧАЕ — ПРИМЕРНО 130 ГБ. 
Итог: версия 4.* — уже практически мертва, 


сразу после /. Размер свопа принято рассчитывать 


Листинг файла make.conf 

# Тип твоего процессора. 

# Для AMD — athlon-mp, athlon-xp, 
athlon-4, athlon-tbird, athlon, k6-3, 
k6-2, k6, k5. 

# Для Intel — p4, p3, p2, 1686, 
i1586/mmx, 1586, 1486, i386. 
CPUTYPE?=p4 
CPUTYPE=p4 
# Совместимость с BSD 4.X 
COMPAT4X=true 
Указываем дополнительные флаги 
CFLAGS=-01 -pipe -march=pentium4 -mtu- 
ne=pentium4 
# Говорим, что флаги включать 
обязательно 
O_CPU_CFLAGS=false 
(O_CPU_COPTFLAGS=false 

Отключаем сборку ненужных 


библиотек и софта 
MAKE_KERBEROS4=false 
MAKE _KERBEROS5=false 
NO_BIND=true 
NO_SENDMATL=true 
NO_GAMES=true 

# Настройки Perl 
PERL_VER=5.8.8 
PERL_VERSION=5.8.8 
PERL_ARCH=mach 
NOPERL=no 
WITH_PERL=yes 
WITHOUT_PERL=no 

# Решаем проблемы с портами 
FORCE_PKG_REGISTER=yes 


> update. В наш век разгула скрипткидисов 
и прочей нечисти крайне важно держать систему 
и софт обновленными. Исходники 5.4 обновляются 
очень редко, только в случае, если обнаружилась 
критическая уязвимость, а вот порты и документа- 
ция — довольно часто. Сразу оговорюсь: в Fre- 
eBSD все надо ставить из портов. Это очень важ- 


в 6.* ожидается много изменений, а значит и сюр- При выборе установки обязательно поставь галоч- 
призов. Как приятных, так и не очень. Кроме Toro, ku y src, ports, linux, perl, compat4x. 

релиз 6.0 вышел относительно недавно, и в нем > the beginning. Первым делом, после того как 
еще могут обнаружиться серьезные недочеты. система загрузилась, проверяем, что нет никаких 
Поэтому мы остановим свой выбор на 5.4. Соби- проблем с железом, установка прошла без сбоев, 
рать хостинговый сервер мы будем на тестовой и система распознает все корректно: 

машине — P4 2.8 Ghz, 512 DDR, 5х200 gb SATA 
RAID 0+1. Разумеется, если ты планируешь под- 
нять крупный хостинг — стоит подумать о более 
шустром железе. 

> pre-install. A не буду рассказывать о TOM, как - make. Так как нам предстоит компилировать 
установить систему — это довольно не сложно, да ядро и кучу разнообразного софта, то сначала 
и различной документации по этому поводу в Се- необходимо оптимизировать процесс компиляции. 
ти хватает. Я остановлюсь лишь на вещах, кото- Многие частенько не придают этому значения, 
рые критически важны для нашего хостинга. забывая, что таким образом мы не только выигры- 
Очень важно правильно разбить диск. Swap райй- ваем время при сборке, но и оптимизируем все 
ion должен находиться как можно ближе к началу под наше железо и ОС. Идем в /etc/make.conf 
диска (физически), поэтому его нужно создавать и там пишем: 


но, поскольку в портах лежат уже адаптированные 
под нужную ось проги со всеми необходимыми 
патчами. Идем в /usr/ports/net/cvsup-without-gui 
и собираем порт: 


# make install clean 
# dmesg | more После окончания процесса сборки нужно напи- 
сать конфиг для cvsup. Идем в /etc, открываем 


там файл cvsupfile (я обычно переименовываю 
в cvsup.conf): 


# cat /var/log/messages 


# Сервер, с которым будем синхронизироваться. 
*default host=cvsup.FreeBSD.org 

# Куда будем складывать свеженькое: 
*default base=/usr 

*default prefix=/usr 

*default release=cvs 


# Тег ветки нашей системы 

*default tag=RELENG_5_4 

*default delete use-rel-suffix 

# Используем сжатие при передаче данных 
*default compress 

# Что будем синхронизировать? 

# Все 
src-all 
*default tag=RELENG_5_4 
*default tag=. 


исходники 


# Все порты 
рРовЕЕа 

# Весь ВТЕМ 
doc-all 


После сборки cvsup-without-gui в /usr/local/bin у те- 
бя появился бинарник сузир. Запускать его надо 


со следующими параметрами: 


(use/ local /binjfevsup -а =L. 2 =z2 
/путь/к/конфигу 


Согласись, держать команды в памяти неудобно. 
Поэтому мы напишем скрипт и автоматизируем 
процесс обновлений. Создаем файл cvs_up: 


# touch cvs_up 


Открываем его любым редактором и пишем такой 
скрипт: 


Листинг скрипта cvs_up 


#!/bin/sh 

Ceho, USitartang бис, nn 
саве “ели ня 

-t) 


/usr/sbin/ntpdate -v ru.pool.ntp.org 


77 


=o) 
/usr/sbin/ntpdate -v 
2>&1 > /dev/null 
/usr/local/bin/cvsup 
/etc/cvsup.conf 2>&1 
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-g -L 2 -z 
> /dev/null 
г) 
/usr/local/bin/cvsup 
/etc/cvsup.conft 


-g -L 2 -z 


esac 
echo "Packages needed to update:"” 
/usr/sbin/pkg_version -v |grep '<' 


exit 0 


Кладем скрипт в нужное место, выставляем chmod 
и chown: 


# mv cvs_up /usr/local/sbin/cvs_up 
# chown root:wheel /usr/ 
local/sbin/cvs_up 

# chmod 0700 /usr/local/sbin/cvs_up 


Теперь, для того чтобы синхронизировать 
исходники, порты, документацию и даже время 
на сервере, у нас есть один скрипт, который по- 
сле синхронизации еще и покажет, что обнови- 
лось. Как видишь, его легко можно запускать 
с флагом —q, который перенаправит всю отчет- 
ность скрипта в /dev/null. 

Нам также понадобится утилита, которая 
займется апгрейдом довольно активно обновляю- 
щихся портов. Ставим portupgrade: 


# са /usr/ports/sysutils/portupgrade 

# make install clean 

И запускаем наш скрипт. По окончании своей pa- 
боты скрипт выдаст отчет о том, какие порты тре- 


GENE Generi 
For core informat 


Kernel Gontigurat 


) World Wide Me erupr (http 
test intornation 


xhaustive 115 


1686_CPt 
HOST IME 


t To sta iy conpile in device 
thint GENERIC hint 


option CHE 
option INET 
tloption INETS 
option FF 

DE TUPDATES 

UFS ACL 

uF DIRHASH 


option 
toptions 
Норт 
Порой 


option 


option 


option 
1 


Не так страшен KepHen, как ero конфиг 


Наш скрипт в работе 


буют обновлений. Обновить софтину или библио- 
теку очень просто: 

# portupgrade порт1 порт2 порт22 
Если хочешь, — можешь прописать этот скрипт 
в сгоп на выполнение раз в сутки, желательно 


ночью, или в то время, когда нагрузка на твой сер- 
вер минимальна. Например так: 


Иа ee tice /Macall/coim/evjcmurp 
>/dev/null 2>&1 


Лично я предпочитаю запускать его вручную, так 
как сузир сервер часто не пускает с первого раза, 
и скрипт остается висеть в процессах, что не есть 
хорошо. 


<Kernel: :About> 


Пора приступать к самой важной части настрой- 
ки системы — к ядру. При инсталле системы ав- 
томатически устанавливается ядро СЕМЕН С. 
В нем включена поддержка устройств, необходи- 
мых для старта системы на любой конфигурации. 
Оптимизировав ядро под свою систему, мы уби- 
раем поддержку ненужных устройств и функций, 
уменьшая таким образом время загрузки и, что 
еще важнее, улучшая производительность систе- 
мы в целом. Давай посмотрим, сколько весит 
ядро до оптимизации: 


# 11 /boot/kernel/kernel 

-Е-хе-кк-х 1 root wheell 5940286 Feb) 23 
2004 /boot/kernel/kernel 

a 


Почти шесть мегабайт — для *BSD это очень MHO- 
го, можешь себе представить. Для сборки своего 
ядра нам понадобятся исходники (Src) системы. 
Если ты не послушал моей рекомендации и не 
сделал этого при установке, то вставь диск с опе- 
рационкой и установи их, используя /stand/sysin- 
stall. Не забудь после этого обновить исходники 
скриптом CVvs_up. 


[Кегпе] : :Config>] 


Ny 


8 | 


Конфиги ядра лежат в папке /зу$/<архитекту- 
pa>/conf. Если у тебя обычный РС, в /sys/i386/conf. 


Теперь открываем конфиг HOSTING любимым pe- 
дактором. Опции настройки ядра указаны в виде 
устройств (device) и расширений/модулей. Все 
строчки, которые начинаются с символа «#» — 
закомментированы, а проще говоря, они не будут 
учтены при сборке нового ядра. Наша задача — 
закомментировать ненужные нам строчки, оста- 
вив только необходимое (рекомендуется ни в ко- 


строки конфига, 
вспоминать «как же называлась эта опция, после 
удаления которой ничего не собирается?..» — 
прим. автора). 

Конфиг ядра составляем по принципу «все, 
что не критично — не нужно». Вряд ли хостингово- 
му серверу так сильно необходимы USB-cKaHep, 
десяток драйверов к Wi-Fi карточкам и PCIMCA. 
Некоторые устройства имеют статус обязатель- 
ных — без них ядро просто не соберется. Они по- 
мечены комментарием required. После Toro, как ты 
закомментировал все ненужное, пришло время 


Сохраняем конфиг и собираем ядро: 


Все, после ребута загрузится свежесобранное 
ядро. Но ребутиться мы пока не будем — нам на- 
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Все. Наша система настроена и готова к бою. Если 
ты работаешь удаленно, пропиши в /etc/rc.firewall 
разрешающее правило для себя, иначе после ре- 
бута потеряется доступ к машине. Если у тебя ло- 
кальная консоль, — смело идем в ребут: 


Как только сервер поднялся, нужно еще раз про- 
верить, что не возникло проблем с железом, софт 
не плевался ошибками, и вообще все в шоколаде. 
Помнишь, мы смотрели размер ядра до пересбор- 
ки? Посмотрим еще раз: 


2.6 мегабайт. Совсем другое дело. 


> _ intro::Services. Итак, в первую очередь важно 
определиться с тем, какие именно сервисы наш 
хостинг будет предоставлять клиентам. Основные 
вещи, которые любой хостинг предоставить обя- 
зан — это Web + PHP/Perl, FTP, БД и статистику 
посещений сайта. Многие хостеры подходят к во- 
просу поднятия хостинга просто: купили Cpanel, 
запустили пза!.5П и продаем аккаунты юзерам. 
Мы же соберем свой собственный хостинг, с само- 
го начала и до победного конца. 

> — выбор софта. Сразу оговорюсь, что предпо- 
читаю использовать стабильный и надежный 
софт, нежели новый и крутой. Нам важна ста- 
бильность и функциональность. А всякие, грубо 
говоря, свистелки и перделки мы оставим скрип- 
ткидисам на разнос. Итак, для www, я думаю, 
не возникнет сомнений — Apache. Ветка 2.* еще 
довольно сыровата, да и почти под каждую новую 
версию двойки появлялся бронебойный эксплойт, 
зачастую даже в паблике. Использовать будем 
проверенный временем 1.3. ЕТР — тут выбор 
не столь однозначен, есть много разных FTPd, 
но мы остановимся на риге-Нра. У него удобный 
и понятный конфиг, отлично реализована работа 
с виртуальными юзерами, достаточная функцио- 
нальность и много других достоинств, о которых — 
ниже. БД, разумеется, MySQL. И опять мы берем 
самую стабильную версию — 4.0.*. Статистика: 
можно взять Webalaizer, но лично я предпочитаю 


AwStats. Его отчетность намного лучше выглядит, 
интуитивно более понятна, да и подробности ана- 
лиза ему не занимать. 


УСЛОВИМСЯ, ЧТО МЫ ИСПОЛЬЗУЕМ 
СЛЕДУЮЩУЮ СТРУКТУРУ ДИРЕКТОРИЙ: 


~~ /USR/HOME/IO3EP — ДОМАШНЯЯ ДИРА 
ЮЗЕРА; 


~~ /USR/HOME/IO3EP/WEB — РУТОВАЯ BEB- 
ПАПКА ЮЗЕРА; 


~~ /USR/HOME/IO3EP/TMP — ТЕМП-ДИРА 
ЮЗЕРА; 


“~~ /USR/HOME/IO3EP/CGI-BIN — CGI-BIN 
ЮЗЕРА; 


~~ /ETC И /USR/LOCAL/ETC — ПАПКИ С КОН- 
ФИГАМИ; 


“ /ETC/AWSTATS — ПАПКА КОНФИГОВ 
СТАТИСТИКИ; 


“~~ /VAR/DB/AWSTATS — ПАПКА С БД СТАТИ- 
СТИКИ; 


~ /VAR/LOG/WWW — ПАПКА С ЛОГАМИ 
ВИРТУАЛЬНЫХ ХОСТОВ. 


>» apache. Кроме обычных клиентов с мега-пор- 
талами (привет VinT) и домашними страничками, 
услугами хостинга пользуются еще и множество 
коммерческих организаций, в частности, инет-ма- 
газины. Поэтому нам нужна возможность предо- 
ставлять им https. На сегодняшний день существу- 
ют две основные релизации SSL для Apache. Это 
Apache-ssl, поддерживаемый самой Apache Group 
и сторонняя разработка — mod_ssl. Последняя да- 
ет намного больше возможностей и намного ак- 
тивней поддерживается, поэтому используем ее. 
Итак, собираем Apache: 


Наконец переходим к настройке. Основной кон- 
фиг Anaya лежит в /usr/local/etc/apache и зовет- 
ca httpd.conf. Конфиг совсем не маленький, поэ- 
тому я опишу здесь лишь самые основные 
и важные параметры (а полностью ты сможешь 
найти его на диске): 


+ 
Options For pure-Ftpa 1.0.21 1 

= 1 

fea) oar Support For users in LDAP directories 1 
анг. Support For users in MySQL database т 
ПЕС Re Support For РАН authentication 1 
ПО Н.Е © For users in PestgresQl database at 
Пой Enable privilege separation 1 
[9 ss Per-user limits 1 
(eo HOT He Bandwidth throttling 1 
Ив Show pure-Ftpd welcone upon session start | 
Ц] ss Support uploadscript daenon _ | 
1 1 
1 il 
1 1 
1 1 
1 1 
* * 
|=} Cancel ! 


Опции pure-ftpd 
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Дальше у нас идут настройки Listen и Bind — тут 
ничего хитрого нет. А сразу за ними — список мо- 
дулей, которые подгружает сервер. Смело ком- 
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Обрати внимание, что каждый модуль нужно за- 
комментировать дважды — в секции LoadModule 
и в секции AddModule. Дальше идет конфигурация 
основного сервера, но мы там почти ничего ме- 
нять не станем, т.к. «основной» сервер использо- 
ваться у нас не будет — будем основываться 
на виртуальном хостинге. Смело стираем блок 
<mod_userdir> и раскомментируем строки: 


Затем находим и раскомментируем строчку «Ма- 
meVirtualHost *:80» — она включит виртуальные 
хосты. Настройки SSL — по вкусу, но лучше ниче- 
го не трогай, если точно не знаешь, что значит тот 
или иной параметр. И, наконец, последней строч- 
кой конфига добавим: 


Эта строчка скажет серверу, где находятся допол- 
нительные конфиги. Учти, что перед дирой, кото- 
рую мы укажем, добавляется значение ServerRoot. 
+> PHP/Perl/CGI. Веб-сервер это хорошо, но на го- 
лом хтмл далеко не уедешь. И сейчас мы добавим ис- 
пользование php, рей и са!-скриптов. Начнем с php: 


Появится менюшка, поставим галочку на Apache, 
на zend multibyte support, и, если надо, на IPv6: 


Модуль должен поставиться без проблем и сам 
вписать себя в конфиг Apache. Открой на всякий 
случай конфиг и проверь, что все прошло нормаль- 
но, конфиг жив, и никто не пострадал. Теперь к на- 
шему модулю нужно собрать расширения РНР: 


Опять появится менюшка с кучей расширений 
на выбор. Нам обязательно установить следующие: 


Остается лишь откинуться на спинку стула и нас- 
лаждаться установкой :). Как только установка за- 
вершится, идем в /usr/local/etc и копируем реко- 
мендуемый конфиг: 


Открываем php.ini 1 вносим следующие изменения: 


Разумеется, эти настройки варьируются в зависи- 
мости от специфики хостящихся сайтов. Я указал 
наиболее оптимальные значения, проверенные 
опытным путем, но, разумеется, тебе ничего не 
мешает указать их по-своему. Некоторые важные 
настройки, касающиеся безопасности РНР, мы за- 
тронем подробнее в разделе «Защита». 

Теперь нам нужно установить Zend Optimizer, 
чтобы юзеры хостинга смогли запускать скрипты, 
зашифрованые зендом. Тут все не так просто, 
и придется сделать небольшой финт ушами. Идем 
на zend.com, выбираем Products > Zend Optimizer, 
free download. Нас попросят зарегистрироваться: 
мыло можно вводить любое, оно не проверяется. 
После регистрации нас перебросит на страницу 
закачки оптимайзера. В разделе Zend Optimizer 


3.0.0 выбирай FreeBSD x86 5.x. Полученный файл 


ти внимание, что Zend попросит тебя добавить нес- 
колько строк в конец файла php.ini. В моем случае: 


zend 


Обычно это происходит автоматически при установ- 
ке, но проверить лишний раз не помешает. Те- 
перь, по аналогии с php, нам нужно собрать еще 
и mod_perl. Можно, конечно, дать веб-юзерам ис- 
пользовать системный перл — но делать это крайне 
не рекомендуется, хотя бы по тем же соображениям 
безопасности. О производительности я вообще 
молчу. Собираем mod_perl: 


a 


о | 


авторизации, поддержку frontpage extensions и др. 

> vhosts. Kak известно, протокол HTTP 1.1 дает 
возможность передавать в запросе параметр Host, 
что позволяет держать несколько сайтов на одном 
|Р-адресе. Это называется виртуальным хостингом. 
Для каждого сайта, который будет у нас хоститься, 
мы создадим отдельный конфиг, что позволит де- 
лать гибкие настройки для каждого домена в от- 
дельности. Первый конфиг, который мы создаем, 
будет служебного характера. Для начала создадим 
папку для конфигов, которую мы указали Apache: 


HN 


Чтобы применить настройки апача и вхостов — ис- 
пользуй команду apachectl graceful. 
MySQL.Tenepb нам необходимо установить 
базу данных, в нашем случае — MySQL. Kak обыч- 
но, собираем из портов, однако, в целях оптимиза- 
ции, мы немного поправим Makefile: 


У 


| 


+ 


На всякий случай сделаем бэкап Makefile: 
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Открываем Makefile, находим там строчку: 


Закрываем, сохраняем и собираем порт с помо- 
щью трех магических слов — make install clean. 
Установка порта MySQL должна пройти без про- 
блем. После установки топаем в /var/db/mysql и на- 
ходим там несколько дефолтных конфигов: 


да ты точно знаешь, какие запросы составляют 
большинство нагрузки. Так как на хостинге сай- 
ты будут разные, и работать их движки с БД бу- 
дут по-разному — оставим пока дефолтные на- 
стройки. Потом, исходя из специфики сайтов, не- 
которые параметры можно будет подкрутить. 

> — phpMyAdmin. Однако управлять MySQL из кон- 
соли очень и очень неудобно. Поставим phpMyAdmin 
(свежий дистриб на диске с журнала), и — в бой: 


Открываем файл config.inc.pbhp и меняем там это: 


на это: 


Идем на вир:/позНта.ги/ртадпит/, ВВОДИМ СВОЙ ЛОГИН 
и пароль к SQL и наслаждаемся. 

FTP. Для ЕТР-сервиса, как ты помнишь, мы 
выбрали риге-Нра. Собираем порт: 


В менюшке опций сборки поставь галочки на: 
™ MYSQL — АВТОРИЗАЦИЯ ЮЗЕРОВ 
ЧЕРЕЗ БД; 


— PRIVSEP — РАЗДЕЛЕНИЕ ЮЗЕРСКИХ 
ПРИВИЛЕГИЙ; 


“~ PERUSERLIMIT — ОГРАНИЧЕНИЕ ПОТО- 
КОВ ДЛЯ КАЖДОГО ЮЗЕРА; 


— THROTTLING — ОГРАНИЧЕНИЕ КАНАЛА 
ДЛЯ КАЖДОГО ЮЗЕРА; 


—` BANNER — НЕ ОБЯЗАТЕЛЬНО. 


После сборки порта в /usr/local/etc появятся де- 
фолтные конфиги фтп-сервера. Создаем отдель- 
ную диру, переносим туда нужные конфиги, выста- 
вляем чмоды и удаляем ненужное: 


листинг файла pure-ftpd.conf 


_ _ = 
в Tonka /Rone/oaep> будет зато 
и 
в Crome saenon noe олени 
eee 
NoAnonymous yes 


il 


Сам сервер сконфигурирован и готов, осталось 
настроить авторизацию через MySQL. Редактиру- 


ем /usr/local/etc/ftp/pureftpd-mysql.conf: 


Все конфиги статистики будут находиться в папке 
/etc/awstats. Чтобы добавить там конфиг для опре- 
деленного домена, — скопируй файл awstats.mo- 
del.conf, заменив model именем домена (без www). 
Например: 


Сам конфиг Awstats довольно длинный, я укажу 
лишь основные параметры: 


Конфиг фтп-сервера завершен. Осталось только 
создать базу MySQL с параметрами, которые мы 
указали в конфиге, и залить в эту базу дамп. 
PhpMyAdmin у нас есть, так что с созданием юзе- 
ра и базы проблем не возникнет. А дамп базы 
в природе существует в двух местах — глубоко в 
дебрях оффсайта pure-ftpd и на диске к журналу. 
Также не забудь: чтобы Нра запустился при старте 
системы, — добавь в /etc/rc.conf строчки: 


>» статистика. Awstats 6.5 присутствует в портах 
FreeBSD, но версия 6.5 содержит очень опасную уяз- 
вимость, поэтому ставить мы будем ручками версию 
6.6. Качай Awstats с оффсайта, или установи с диска 
к журналу. Разахривируй файл и устанавливай: 


Добавляем скрипт в крон, чтобы обновлять стати- 
стику раз в 9 минут: 


Просмотреть статистику для домена можно по ад- 
ресу: http://hosting.ru/cgi-bin/awstats.pl © 
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Сейчас мы попробуем продумать и разработать 
защитный комплекс, который позволит системно- 
му администратору спать чуточку спокойней. Мно- 
гие сисадмины теорией пренебрегают чаще всего 
потому, что просто о ней не знают — документа- 
ций и статей по этому вопросу практически никто 
не писал. Ведь объяснить на словах концепцию че- 
го-либо без конкретных примеров — очень и очень 
сложно. Поэтому, после теоретического ликбеза 
мы разберем концепцию на примере хостинга, 
описанного в статье «Могучий хостинг» из этого 
номера. А начнем мы, пожалуй, с основ — с тео- 
рии информационной безопасности. 

>  теориягабош. Немного утрируя, можно ска- 
зать, что хакер отличается OT скрипткидиса не толь- 
ко тем, что умеет мыслить нестандартно, но и тем, 
что хорошо знаком с теорией предмета. То же мож- 
но сказать и про хорошего крэкера — нужно не 
только уметь пользоваться дизассемблером, а еще 
и знать, например, как устроен тот или иной тип би- 
нарика, что такое коллгейт (нет, не паста), и из че- 
го он состоит. Поэтому самый первый кирпичик 
в основе грамотного системного администрирова- 
ния — изучение матчасти. Невозможно достойно 
противостоять напору взломщиков, не понимая, как 
работает твоя система, и что происходит при вызо- 
ве того или иного процесса. При разработке защи- 
ты так же важно понимать, что хороший хакер, 
имеющий конкретную цель, взломает любой сер- 
вер. C’est la ме. Если кто-то очень сильно захочет 
посмотреть пару файлов на твоем сервере — он 
это сделает. Поверь, на Пентагон и ФБР работают 
не самые плохие специалисты, и, тем не менее, их 
ломали. И неоднократно. Идеальную защиту можно 
сравнить с вечным двигателем — теоретически она 
есть, но пока ее еще никто не создал. 
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сверхдержавный 


ЗАЩИЩАЕМ ВЕБ-СЕРВИСЫ ГРАМОТНО 


НАШ ЖУРНАЛ УЖЕ МНОГО ПИСАЛ О ТОМ, КАК ХАКЕРЫ ДЕЛАЮТ СВОЕ ЧЕРНОЕ ДЕЛО, 
СЦЕНЕ И КУЛЬТУРЕ ХАКА. СЕГОДНЯ МЫ ВСТАНЕМ ПО ДРУГУЮ СТОРОНУ БАРРИКАД 
И ПОГОВОРИМ О МЕТОДИКАХ ЗАЩИТЫ ОТ ВЗЛОМЩИКОВ 


= МЕ 


{root@securitylab.co.il} 
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3 — теориягосновные принципы. По сути, защита 
любой системы, предоставляющей сервисы, со- 
стоит из двух основных направлений — защита от 
внешней атаки и защита от атаки изнутри. Атака 
изнутри — это когда атакующий является легаль- 
ным авторизированным пользователем, который 
пытается так или иначе поднять свои привилегии 
в системе. Например, банковский работник, пы- 
тающийся просмотреть файлы, к которым ему не 
давали доступа, или клиент хостинга, у которого 
есть шелл, пытающийся дефейснуть другой сайт 
на сервере — это типичные примеры подобной 
атаки. Атаки второго типа отбивать намного слож- 
нее, ведь у пользователя есть не только данные 
о системе, но и валидный юзер. Также необходи- 
мо учитывать, что, с целью поломать твою систе- 
му, хакер может купить аккаунт или украсть па- 
роль у юзера. 

>  теориягорганизация. В вопросах организа- 
ции и структуры все зависит от масштаба проекта, 
в данном случае — хостинга. Если речь идет о по- 
строении крупного хостинга, — разумным решени- 
ем будет использование, например, распределен- 
ной системы, связанной внутри локальной гига- 
битной сетью. Один из примеров реализации тако- 
го решения может выглядеть как на схеме 1. 

В данном случае машины А, В и С являются 
веб-серверами. На них бегают только веб и фтп- 
демоны. D — почтовый сервер, обслуживающий 
наших клиентов. Сервер Е представляет собой 
кластер БД, а Е — бэкапный сервер. Как видно на 
схеме, все серверы хостинга соединены между со- 
бой в локалку, причем таким образом, что сервер 


Е u F xe имеют доступа в инет. Эта схема имеет 
довольно серьезные преимущества в плане безо- 
пасности — все запросы внутри локальной сети 
происходят в одностороннем порядке, а значит, 
ситуацию уже намного легче контролировать. 
Разумеется, и у такой схемы есть недостатки — 
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Cisco 
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Схема 1 


например, время запроса к MySQL возрастает, так 
как запрос выполняется через ТСР, а не через 
локальный) unix socket. 

Таких вариантов построения хостинга — сот- 
ни, и каждый из них имеет свои преимущества 
и недостатки. Систему, описанную выше, исполь- 
зует, например, весьма солидный хостинг ipower- 
web.com, 0 взломе которого я уже рассказывал пол- 
тора года назад. Тогда мне помогла лишь полная 
беспечность админа, оставившего суидный скрипт 
после инсталляции какого-то софта. Скажу честно: 
если бы не эта неосторожность с его стороны — 
я врядли достиг бы цели. Поэтому помни: на систе- 
му надейся, а сам не плошай! 
system. Теперь попробуем реализовать на 
практике вышеописанные теоретические доводы. 
Первым делом мы займемся системой. Рассмо- 
трим простой пример — пользователь купил у нас 
хостинг и запустил мега-движок на РНР, который 
написал ему приятель-школьник за 100 рублей. 
Кроме основного действия скрипта функция М за- 
цикливается, попутно производя некое сложное 
действие. Как результат — высокая загрузка про- 
цессора. Это очень типичная ситуация для хостин- 
га. Чтобы предотвратить подобные ненамеренные 
и намеренные) атаки, необходимо ограничивать 
юзера в плане ресурсов. У *BSD для таких целей 
существует система профилей пользователей. 
Это значит, что мы можем легко ограничить ре- 
сурсы каждого пользователя в отдельности. От- 
крываем /etc/login.conf: 
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Здесь я указал лишь основные параметры. Спи- 
сок всех параметров и их описание можно найти 
в НапаБоок. 

hard. Теперь к вопросу о файловой системе. 
Самый важный файл настроек в данном случае — 
/etc/fstab. Он применяется при загрузке, и указы- 
вает системе, как работать с тем или иным разде- 
лом файловой системы, что с ним может делать 
пользователь, а что — нет. Открываем /etc/fstab 
и приводим его примерно в такой вид: 


+ 


/dev/adisib none = swap зи == 00 
/dev/adisla/ м м 1 
/dev/adisle /tmp чз ки, noexec 22 
/dev/adisif /usc ив rw 28 
/dev/adisid /var м  хм,подеу 22 
/dev/acd0  /cdrom — с499660 ro,noauto 00 
Очень важно поставить параметр noexec на /tmp. 
Данная опция запрещает запускать что-либо на фай- 
ловой системе, даже если на файле установлен 
chmod 777. Я лично видел очень много взломов 
отлично защищенных серверов именно из-за этой 
ошибки, которую, почему-то, очень многие допу- 
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почти любой процесс в системе. Опция nosuid го- 
ворит системе игнорировать зи-биты файлов, 
а nodev запрещает создание/существование в раз- 
деле специальных устройств. 

system::sysctl. Теперь перейдем к тюнингу 
операционной системы. Открываем /etc/sysctl.conf 
и пишем туда следующее: 
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Конечно же, здесь указаны не все параметры 
sysctl. Для полного описания всех возможностей 
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> логи. Очень важным аспектом системного ад- 


у тебя появятся четыре конфига: переименуй их, 
убрав из названия файла «sample»: 


logcheck.hacking — о каких странностях сообщать; 
logcheck.violations — о каких попьгках взлома сообщать; 
logcheck.ignore — какие странности игнорировать; 
logcheck.violations.ignore — какие попытки взлома 
игнорировать. 


В целом и общем, первый файл от второго ничем 
не отличается, равно как и третий от четвертого. 
Просто разработчики скрипта решили разнести 
сообщения о подозрительной активности и сооб- 


щения о явнои атаке в разные конфиги. Затем 


oa 
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Так же следует учесть тот факт, что, при большой 
активности хостящихся сайтов, логи веб-сервера 
неумалимо начнут расти и занимать немало ме- 
ста. В то же время их надо сохранять. Тут есть 
два варианта. Можно использовать утилиту logro- 
tate (/usr/ports/sysutils/logrotate), но я использую 
небольшой самописный скрипт. Его основной 
конфиг я поясню, а скрипт целиком можно найти 
на диске (rLog.sh). 


Скрипт заархивирует все логи виртуальных хо- 
стов, создаст архив в указанном тобой месте, об- 
нулит логи и пошлет отчет руту. Разумеется, 
скрипт нужно прописать в crontab: 


> apache. К сожалению, на сегодняшний день 
не существует хотя бы близкой к безупречности 
модели защиты Apache. Любая конфигурация 
этого веб-сервера так или иначе оставляет воз- 
можности для взлома, даже при использовании 
suexec или с9!-врапперов. Единственный более- 
менее интересный вариант — это модуль PerUser 
для Apache 2. Он позволяет запускать Апач с при- 
вилегиями пользователя, который указан в кон- 
фиге виртуального хоста. Это значит, что каждый 
вхост (читай домен) на сервере запускается из- 
под отдельного системного юзера. Даже если по- 
ломают один сайт, то, чтобы добраться до других, 
хакеру нужно будет поднимать привилегии до рута. 
А на хорошо настроенной В$О-системе сделать 
это намного сложнее, нежели залить веб-шелл 
через багу в скрипте. Однако у модуля PerUser 
есть три серьезных недостатка. Во-первых, он су- 
ществует только для Apache второй версии, кото- 
рая еще не совсем стабильна, во-вторых — про- 
ект уже довольно долгое время находится 
в стадии альфа-тестинга, и в-третьих — модуль 
(по второй причине) невозможно установить 
из портов, а значит веб-сервер придется собирать 
из исходников, а это не только дополнительная 
возможность наделать ошибок, но и немалый ге- 
моррой с апдейтами. Думаю, что если разработ- 
чики все же разродятся стабильным релизом это- 
го модуля, — это решит множество проблем для 
админов хостинговых серверов. 

> — scripting. Рассмотрим самое уязвимое место 
хостинговой системы, а именно — выполняемые 
файлы, и, в частности, РНР-скрипты. Начнем с того, 
что открываем конфиг РНР: 
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Меняем следующие параметры: 

Выключить эти функции очень важно. Хоть они 
и недоступны при включенном Safe mode, пользо- 
ватель может без труда провести успешную атаку, 
указав в файле .htaccess: 


> — виртуальные хосты. Теперь нам необходимо 
задать ограничения в конфиге каждого вхоста. 
Добавляем следующие параметры: 


Как известно, немалая часть взломов (SQL Injec- 
tion, Х5$-атаки, инклюдинг) происходит, по сути, 
посредством хитрого НТТР-запроса. Логично 
предположить, что эти самые запросы неплохо 
было бы фильтровать. Решение проблемы суще- 
ствует в виде модуля к Апачу, и называется оно 
mod_security. Ставим: 


После установки — идем конфигурировать. Откры- 
ваем любой конфиг виртуального хоста, напри- 
мер, 001.admin.hosting.ru, над которым мы уже 
экспериментировали. Все значения надо вводить 
между тегами <Virtualhost *:80> и </Virtualhost>. 


У этого модуля на редкость удачная дефолтная 
конфигурация. К ней мало что можно добавить, 
так как большинство настроек — специфичны. 
Общий принцип составления правил мы рассмо- 
трели, а остальное можно добавить по своему ус- 
мотрению. 

firewall. Ну и, разумеется, ключевой момент 
защиты — файрвол. Открываем конфиг файрвола 
/etc/rc.firewall) и приводим нужную секцию при- 
мерно в следующий вид: 
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листинг файла /etc/rc.firewall 


Г 


Защита 


Атака изнутри 


Атака извне 


Атака изнутри 


Разделение 
привилегий 


Ограничение 
ресурсов 


/etc/sysctl.conf /etc/login.conf 


Грамотные chmod /etc/sysctl.conf 


Структура папок 


Философия защиты — вырежи эту схему из журнала и повесь 


на видное место 


lull 


> chroot. Когда ко мне прибежал очередной 
знакомый админ и с выпученными глазами сооб- 
щил, что теперь у него стоит mod_chroot для Ana- 
а — я задал ему вполне легитимный вопрос: «За- 
чем?». Ответ был стандартный — «Потому что се- 
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Араспе РНР Ue? Firewall logcheck IDS top/ps 
httpd.conf php.ini Разделение 
привилегий 
mod_security 
mod_ Виртуальный chroot 
security 
Квоты 


Отключение опасных 
функций 


курно». Мы с ним рассмотрели минусы решения: 
потеря производительности, лишний немаленький 
модуль, дополнительный конфиг. Смотрим плюсы: 
а что дает модуль? А ничего он не дает. То же 
можно сказать и про обычный Chroot — он ничего 
не дает в плане безопасности. Дело в том, что гра- 
мотно выставленные сптоф’ы дают TOT же эф- 
фект, но без потерь в ресурсах и дополнительных 
заморочек. Для системы, которую мы рассматри- 
ваем на примере, chroot не пригодится. Однако су- 
ществует множество случаев, когда он необходим. 
В основном, к помощи сПгооРа имеет смысл при- 
бегать, когда требуется обезопасить отдельный 
сервис. Например, ISC BIND, который, мягко гово- 
ря, небезопасен — создавать ему «песочницу» 
необходимо, даже если DNS — это единственный 
сервис, запущенный на системе. 

> а. В связи с тем, что вопрос безопасности 
сегодня стоит очень остро, постоянно появляются 
все новые и новые решения. К сожалению, боль- 
шинство из них далеки от идеала. Выбирая любое 
решение, необходимо сначала рассматривать его 
недостатки, и только потом — преимущества, так 
как обычно игра не стоит свеч. Например, Jail 
в В$0. С одной стороны — все замечательно и 
прекрасно, если походить по форумам — везде 
восторженные отклики «профессионалов» о том, 
как у них все теперь секурно. На примере того же 
хостинга давай посмотрим, что будет, если мы по- 
ставим туда ]а!ы. Во-первых, в джейл нам при- 
дется загонять каждый вхост, а значит — 
мы серьезно теряем в производительности. Во- 
вторых, jail еще очень плохо документирован, 


а значит, уже нужно быть готовым к сюрпризам 
(не всегда приятным). В-третьхх, jail еще мало кто 
использует, и я бы не был на 100% уверен в его 
стабильности, и, уж тем более, безопасности. 
В-четвертых, если хакер достаточно квалифици- 
рован, чтобы поднять привилегии внутри джейла, 
то ему не составит большого труда вылезти из не- 
го в основную систему. А теперь рассмотрим плю- 
сы: джейл позволяет нам создавать ОС внутри 
ОС. Круто. Но как показывают его минусы — 
в данном случае — бессмысленно. Существуют 
варианты, когда такие системы необходимы — 
это при раздаче пользователям шеллов или VDS. 
Например, проект firstvds.ru работает на основе 
модифицированного FreeBSD jail. 
3» pesiome. Суть примеров с Chroot и Jail заклю- 
чается в том, чтобы донести до нас одну из ключе- 
вых аксиом — ОС, софт и настройки следует вы- 
бирать исходя из задачи. Не стоит ставить ту или 
иную фишку, если она не помогает решить задач, 
которые выполняет сервер. Этим грешат очень 
многие системщики, и часто именно эти излишки 
и открывают хакеру лазейку в систему. В целом 
и общем, можно сказать, что чем больше админ 
знает о функциях, которые будут выполнять процес- 
сы сервера — тем лучше он сможет его защитить. 
Разумеется, все вышеописанное не претен- 
дует на идеально защищенную систему. Как уже 
было сказано, идеальная защита — миф. Кому-то 
данная концепция подойдет, кому-то — нет. В лю- 
бом случае, надеюсь, что данная статья поможет 
тебе сориентироваться в основах обеспечения бе- 
зопасности собственного сервера © 
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> IPSec — наиболее признанный, поддержи- 
ваемый и стандартизированный из всех протоко- 
лов ВЧС на сегодняшний день. Для обеспечения 
совместной работы различных устройств в гетеро- 
генной сети он подходит лучше прочих, так как ос- 
нован на полностью открытых стандартах. 
В отличие от других ВЧС-протоколов, IPSec рабо- 
тает на третьем уровне и может защищать любой 
ИП-трафик. При его применении совместно с дру- 
гими протоколами туннелирования на втором уров- 


ВНЕДРЕНИЕ IPSEC 


РАССМОТРИМ ДВА НАИБОЛЕЕ ЧАСТО ИСПОЛЬЗУЕМЫХ СЦЕНАРИЯ ВЧС 
(ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ) — «ХОСТ В ХОСТ» И «ХОСТ В СЕТЬ», 
ПРЕДВАРИТЕЛЬНО БОЛЕЕ ДЕТАЛЬНО РАССМОТРЕВ НЕКОТОРЫЕ ТЕОРЕТИЧЕСКИЕ 
АСПЕКТЫ IPSEC 
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не, такими как Л2ТП, также появляется возмож- 
ность защиты в том числе и не ИП-трафика. 

+> внутреннее устройство IPSec. Нельзя гово- 
рить 06 IPSec’e, как об одном протоколе. На самом 
деле, под протоколом IPSec подразумевается на- 
бор стандартов и черновиков (drafts). Вот основные: 


“AH (AUTHENTICATED HEADER) 
ЗАГОЛОВОК АУТЕНТИФИКАЦИИ, 
ОБЕСПЕЧИВАЮЩИЙ АУТЕНТИФИКАЦИЮ 
ИСТОЧНИКА ДАННЫХ, ЦЕЛОСТНОСТЬ 
И ЗАЩИТУ ОТ АТАК ПОВТОРНОГО 
ВОСПРОИЗВЕДЕНИЯ. 


“ ESP (ENCAPSULATED SECURITY PAYLOAD) 
БЕЗОПАСНО ИНКАПСУЛИРОВАННАЯ 
ПОЛЕЗНАЯ НАГРУЗКА, 
ОБЕСПЕЧИВАЮЩАЯ АУТЕНТИФИКАЦИЮ 
ИСТОЧНИКА ДАННЫХ, ЦЕЛОСТНОСТЬ, 
ЗАЩИТУ ОТ АТАК ПОВТОРНОГО 
ВОСПРОИЗВЕДЕНИЯ, 
КОНФИДЕНЦИАЛЬНОСТЬ ДАННЫХ 
И, В НЕКОТОРЫХ ТИПАХ ПРИМЕНЕНИЯ, 
СКРЫТНОСТЬ УПРАВЛЕНИЯ ПОТОКОМ. 


— 1РСОМР (IP PAYLOAD 
COMPRESSION PROTOCOL) 
ПРОТОКОЛ АВТОМАТИЧЕСКОГО 
СЖАТИЯ ДАННЫХ ПЕРЕД ШИФРАЦИЕЙ. 
ПОТЕНЦИАЛЬНО УСТРАНЯЕТ 
НЕГАТИВНОЕ ВЛИЯНИЕ ИНКАПСУЛЯЦИИ 
ДАННЫХ И СОКРАЩАЕТ ОБЪЕМ 
ТРАНСЛИРУЕМОЙ ИНФОРМАЦИИ. 


— IKE (INTERNET KEY EXCHANGE) 
МЕХАНИЗМ БЕЗОПАСНОГО 
АВТОМАТИЧЕСКОГО ОБМЕНА КЛЮЧАМИ, 
ПРЕДОСТАВЛЯЮЩИЙ СРЕДСТВА 
СОГЛАСОВАНИЯ КРИПТОГРАФИЧЕСКОГО 
АЛГОРИТМА И ОТВЕЧАЮЩИЙ 
ЗА РАСПРЕДЕЛЕНИЕ КЛЮЧЕЙ, 
ИСПОЛЬЗУЕМЫХ ДЛЯ ШИФРОВАНИЯ 
ДАННЫХ. 


Существуют два режима работы 1РЗес-соедине- 
ния: туннельный и транспортный. Транспортный 
режим работы используется исключительно для 
защиты соединения между двумя хостами, ши- 
фруя только полезные данные в пакете. Туннель- 
ный режим работы шифрует весь передаваемый 
ИП-пакет, вместе с полезными данными, ИП-оп- 
циями, исходным и конечным адресом, добавляя 
новые ИП-заголовки, позволяя создавать защи- 
щенное соединение между несколькими сетями. 
Настоятельно рекомендую использовать туннель- 
ный режим работы ESP IPSec, так как он обеспе- 
чивает наибольший уровень конфиденциальности 
передаваемых данных, хотя и увеличивает пакет 
на несколько дополнительных байтов. 

При использовании автоматического режи- 
ма обмена ключами, создание туннеля происхо- 
дит в два этапа. В процессе первой фазы соеди- 
нения происходит формирование ISAKMP SA 
(соглашения о защите протокола безопасности 
в интернете и управлении ключами), включая 
установление аутентификации и защиты IPSec- 
узлов, согласование политики для защиты обме- 
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ДЛЯ СТАТЬИ ИСПОЛЬЗОВАЛОСЬ ПОСЛЕДНЕЕ 
СТАБИЛЬНОЕ 2.6.16 ЯДРО, IPSEC-TOOLS 0.6.5 


И IPROUTE2 2.6.16 


на информацией, выработку защитного ключа 
через протокол Диффи-Хельмана и установку 
туннеля для дальнейших переговоров второй 
фазы. В процессе второй фазы согласования 
формируется IPSec SA, включая согласование 
параметров SA для протокола IPSec, выработку 
SA для протокола IPSec, периодическую рота- 
цию ключей шифрования. 

Наиболее распространенные методы взаимной ау- 
тентификации сторон включают использование 
предварительно разделенного ключа (PSK) или 
цифровых сертификатов типа Х.509. Оба метода 
имеют свои преимущества. Хотя считается, что ис- 
пользование цифровых сертификатов — более 
безопасное решение, но стоит ли утруждать себя 
созданием СА, выпиской сертификатов и СНЕ, 
если нужно соединить только два хоста? 

> — выбор IPSec’a. На данный момент существует 
две имплементации 1Р$Зес-стэка для Линукса и три 
вида пользовательского интерфейса. Начиная с 2.6.х 
версии, ядро Линукса приобрело встроенную под- 
держку IPSec’a (NETKEY), портированную с Fre- 
eBSD, и пользовательский интерфейс, предоста- 
вляемый ipsec-tools. Для предыдущих версий ядра 
(2.2.х и 2.4.x) поддержка протокола IPSec осущест- 
влялась через программный пакет FreeSWAN 
(KLIPS как часть кернела, и Pluto — как пользова- 
тельский интерфейс), который сейчас перешел в 
новую реинкарнацию и называется OpenSWAN. 
Третьим пользовательским интерфейсом является 
Isakmpd, портированный на Линукс с OpenBSD — 
наименее распространенное решение. 

Хотя NETKEY — значительно более молодой 
стэк, чем КЫР$, и имеет меньшую функциональ- 
ность, он все равно был интегрирован в текущее 
древо ядра, в основном из-за различных «полити- 
ческих» проблем, окружающих KLIPS, а также из- 
за более «чистого» кода. 
> подготовка к установке. Большинство совре- 
менных дистрибутивов базируются на 2.6.х ядре 
и имеют как предустановленную поддержку 
IPSec'a в ядре, так и набор утилит в своих систе- 
мах управления пакетами. 

Опустим стандартный процесс сборки и уста- 
новки, сконцентрировавшись непосредственно на 
самом процессе конфигурации. 
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проверь, что два хоста, между которыми ты соби- 
раешься устанавливать туннель, не имеют ника- 
ких препятствий для связи (если установлен бран- 
дмауэр, то разреши соединения на УОР-порты 
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для отделения потока трафика, пришедшего через 
IPSec-TyHHenb, необходимо пометить входящие 
Е$ЗР-пакеты и разрешить беспрепятственный 


b 
Е 
5 
5 
5 
5 
= 
® 
3 
Ф 
т 
Db 
5 
3 
[5 
o 
5 
Е 
г 
5 
x 
o 
3 
raf 
S 
г 
= 
< 
5 
4 
о 
a 
Е 
Ё 
< 


> — конфигурация «хост в хост». Существует до- 
статочно возможностей установления безопас- 
ного соединения между двумя статическими 
хостами, начиная с использования SSH для за- 
щиты административного канала управления 
или инкапсуляции всего трафика в РРР-канал 


Ракун — достаточно сложный в конфигура- 
ции демон с огромным количеством опций, боль- 
шинство из которых, к счастью, можно оставить 
по умолчанию, что значительно облегчает задачу. 

В первую очередь нужно установить пароль. 
Значение ключа устанавливается в файле psk.txt 
проверь, чтобы права доступа были 400, -r-------- 
root root, иначе Ракун не запустится). 
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генерирование случайного ключа 


8 | 


помести ключ в файл psk.txt 


В первом столбце указывается идентификатор 
хоста, будь-то ИП-адрес или имя хоста, а во 
втором — сам ключ. Такую же операцию прове- 
ди и на втором хосте, заменив ИП на противо- 
положный. 


*NIX ДЛЯ ПОВЕЛИТЕЛЯ 


СПЕЦ 07 + 68 


Далее необходимо задать политику безопас- 
ности IPSec, а именно: какие каналы коммуникации 
необходимо защитить, и каким образом будет осу- 
ществляться защита соединения. Политику безо- 
пасности возможно определить для хостов и для на- 
правления соединения, а также и на уровне сокета, 
которым пользуется программа. При запуске Ракун 
не пытается немедленно установить соединение, а 
ждет уведомления от ядра о том, что данное соеди- 
нение становится активным и нуждается в защите, 


после чего инициирует обмен ключами. 


как правило, конфигурация политики безопасности 
заносится в файл ipsec.conf или setkey.conf 
(зависит от особенностей дистрибутива) 
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КОНСТАНТИН 
ГАВРИЛЕНКО 


Соавтор книг: 

«Wi-®y: Секреты 
беспроводного взлома» 
и «Секреты Хакеров: 


VPN (VIRTUAL PRIVATE NETWORK)? 


В те давние времена, 
когда интернет был до- 
ступен ограниченному 
количеству пользова- 
телей, в основном ака- 
демической напра- 
вленности, особых во- 
просов о конфиден- 
циальности передавае- 
мых данных не возни- 
кало. С ростом количе- 
ства пользователей и 
приходом громадных 
корпораций претерпе- 
ла изменения и сама 
природа интернета. Из 
академического ин- 
струмента она превра- 
тилась в глобальную 
распределенную Сеть, 


Безопасность сетей Циско». 


Консультант по безопасности, 
директор компании Архонт. 


КАКОВО ИСТИННОЕ ПРЕДНАЗНАЧЕНИЕ 


в которой хранится и 
передается огромное 
количество конфиден- 
циальных данных и про- 
водится множество фи- 
нансовых транзакций. 
Такие изменения не 
могли долго оставать- 
ся без внимания лиц, 
пытающихся извлечь 
выгоду из доступа к 
конфиденциальной ин- 
формации. Соответ- 
ственно, с особой ос- 
тротой встал вопрос 
безопасной передачи 
данных. Одно из воз- 
можных решений этой 
проблемы — развер- 
тывание ВЧС. Их при- 


менение оправдано по 
двум мотивам: 


— стремление сокра- 
тить расходы, напри- 
мер, заменив безопас- 
ные линии дозвона для 
удаленных корпора- 
тивных пользователей 
на доступ через IPSec; 


— желание обеспечить 
конфиденциальность 
передаваемых данных 
между узлами сети во 
враждебном окруже- 
нии, например, защита 
коммуникаций между 
клиентом и точкой бес- 
проводного доступа. 


В данном примере мы создали две политики, опи- 
сывающие входящий и исходящий трафик, для 
двухсторонней коммуникации с соседним хостом. 
В зависимости от используемого режима протоко- 
ла и алгоритма шифрования, конечный отправляе- 
мый пакет увеличивается в размере. Соответ- 
ственно, для уменьшения количества передавае- 
мых данных, а так же для того, чтобы избежать не- 
нужной фрагментации пакетов, мы сначала сжи- 
маем пакет и только потом его шифруем, что 
и отображено в файле конфигурации. Ты неогра- 
ничен в выборе используемой комбинации прото- 
колов (AH, ESP, IPCOMP) и, ради эксперимента, 
можешь попробовать провести даже двойное ши- 
фрование пакета. 


настройка конфигурационного файла КЕ-демона, 
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Обычная конфигурация хранится в файле raco- 
on.conf. В нем содержится описание особенностей 
всех туннелей, для которых необходима автомати- 
ческая генерация ключей. 

Теперь более подробно рассмотрим исполь- 
зуемые опции: 


“PATH PRE_SHARED_KEY 
МЕСТОНАХОЖДЕНИЕ ФАЙЛА С КЛЮЧАМИ; 


“ISAKMP 192.168.55.111 [500] 
АДРЕС, НА КОТОРОМ БУДЕТ СЛУШАТЬ 
ДЕМОН IKE; 


“ISAKMP_NATT 192.168.55.111 [4500] 
АДРЕС, HA КОТОРОМ БУДЕТ СЛУШАТЬ 
ДЕМОН IKE В РЕЖИМЕ РАБОТЫ 
ЧЕРЕЗ МАТ; 


“ STRICT_ADDRESS 
УКАЗЫВАЕТ, ЧТО ИНТЕРФЕЙС ДОЛЖЕН 
ПРИСУТСТВОВАТЬ ПЕРЕД НАЧАЛОМ 
РАБОТЫ; 


ВЕМОТЕ 192.168.55.6 

ОТКРЫВАЕТ СЕКЦИЮ КОНФИГУРАЦИИ 
ОТДЕЛЬНО ВЗЯТОГО ТУННЕЛЯ 

И УКАЗЫВАЕТ АДРЕС СОСЕДА 
1РЗЕС-ТУННЕЛЯ; 


EXCHANGE_MODE MAIN 
ОПРЕДЕЛЯЕТ РЕЖИМ РАБОТЫ ПЕРВОЙ 
ФАЗЫ; 


MY_IDENTIFIER ADDRESS 
ПОСЫЛАЕМЫЙ ИДЕНТИФИКАТОР; 


— PEERS_IDENTIFIER ADDRESS 
ОЖИДАЕМЫЙ ИДЕНТИФИКАТОР СОСЕДА; 


“VERIFY_IDENTIFIER ON 
ВКЛЮЧЕНИЕ ПРОВЕРКИ 
ИДЕНТИФИКАТОРА СОСЕДА; 


— DPD_DELAY 60 
ОПРЕДЕЛЕНИЕ ИНТЕРВАЛА РАБОТЫ 
РЕЖИМА ОБНАРУЖЕНИЯ НЕРАБОТАЮ- 
ЩЕГО ХОСТА; 


“ PROPOSAL 
ОТКРЫВАЕТ СЕКЦИЮ КОНФИГУРАЦИИ 
ПАРАМЕТРОВ ПРЕДЛОЖЕНИЯ ПЕРВОЙ 
ФАЗЫ; 


— LIFETIME TIME 120 MIN 
ВРЕМЯ ЖИЗНИ КЛЮЧА ШИФРОВАНИЯ 
ПЕРВОЙ ФАЗЫ; 


ENCRYPTION_ALGORITHM RIJNDAEL256 
АЛГОРИТМ ШИФРОВАНИЯ, 
ИСПОЛЬЗУЕМЫЙ В ПРОЦЕССЕ 

ПЕРВОЙ ФАЗЫ; 


— HASH_ALGORITHM SHA256 
АЛГОРИТМ ХЭШИРОВАНИЯ, 
ИСПОЛЬЗУЕМЫЙ В ПРОЦЕССЕ 
ПЕРВОЙ ФАЗЫ; 


“ AUTHENTICATION_METHOD 
PRE_SHARED_KEY 
ИСПОЛЬЗУЕМЫЙ МЕТОД 
АУТЕНТИФИКАЦИИ; 


DH_GROUP MODP4096 
ПАРАМЕТРЫ ФУНКЦИИ 

ИДЕАЛЬНОЙ СЕКРЕТНОСТИ 
ПЕРЕНАПРАВЛЕНИЯ ПЕРВОЙ ФАЗЫ; 


— PROPOSAL_CHECK STRICT 
ОПРЕДЕЛЯЕТ УРОВЕНЬ СООТВЕТСТВИЯ 
ДВУХ ПРЕДЛОЖЕНИЙ; 


— SAINFO ANONYMOUS { 
ОТКРЫВАЕТ СЕКЦИЮ КОНФИГУРАЦИИ 
ПАРАМЕТРОВ ПРЕДЛОЖЕНИЯ ВТОРОЙ 
ФАЗЫ; 


“LIFETIME TIME 30 MINUTES 
ВРЕМЯ ЖИЗНИ КЛЮЧА ШИФРОВАНИЯ; 


— ENCRYPTION_ALGORITHM RIJNDAEL 
АЛГОРИТМ ШИФРОВАНИЯ, 
ИСПОЛЬЗУЕМЫЙ В ПРОЦЕССЕ ВТОРОЙ 
ФАЗЫ; 


— AUTHENTICATION_ALGORITHM 
HMAC_SHA1 
АЛГОРИТМ ХЭШИРОВАНИЯ, 
ИСПОЛЬЗУЕМЫЙ В ПРОЦЕССЕ 
ВТОРОЙ ФАЗЫ; 


COMPRESSION_ALGORITHM DEFLATE 
АЛГОРИТМ СЖАТИЯ, 

ИСПОЛЬЗУЕМЫЙ В ПРОЦЕССЕ 
ВТОРОЙ ФАЗЫ; 


— PFS_GROUP MODP2048 
ПАРАМЕТРЫ ФУНКЦИИ ИДЕАЛЬНОЙ 
СЕКРЕТНОСТИ ПЕРЕНАПРАВЛЕНИЯ 
ВТОРОЙ ФАЗЫ. 


Стоит отметить, что для второй фазы были вы- 
браны менее мощные алгоритмы шифрования 
и хэширования, так как они используются непо- 
средственно для шифрования отправляемого 
трафика, что, в свою очередь, сказывается 
на производительности системы. В зависимости 
от мощности и архитектуры процессора, необхо- 
димой пропускной способности и желаемого 
уровня безопасности данных, различные алго- 
ритмы будут более или менее приемлемы в каж- 
дой конкретной ситуации. Включение режима 
сжатия данных так же добавляет дополнитель- 
ную нагрузку на центральный процессор, но при 
подходящем для компрессии типе данных, 
ты можешь обеспечить значительный прирост 
скорости передачи. 

Не забудь, что файлы конфигурации дол- 
жны, за исключением ИП-адресов, зеркально 
отображать себя на обоих хостах. Иначе возмож- 
ны несостыковки в политиках безопасности, что 
приведет к невозможности согласования пара- 
метров туннеля. 
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для установки политик безопасности 
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соединение инициировано простым пингом 


> — конфигурация «хост в сеть». Часто возника- 
ет ситуация, когда клиенту необходим доступ 
к ресурсам сети, но он использует динамический 
доступ к интернету посредством дозвона, беспро- 
водного хот-спота и т.д. Заранее невозможно про- 
писать его динамический ИП в политике безопас- 
ности для установки туннеля, поэтому для аутен- 
тификации таких хостов приходится применять 
другие методы. 

Рассмотрим пример настройки ВЧС-шлюза 
для приема соединений таких клиентов, используя 
аутентификацию через х509 сертификаты, про- 
верку их подлинности через центральный СА и ис- 
пользование поддержки режима работы через 
МАТ- устройства. 
> пример конфигурации сервера. Опустим де- 
тальное описание настройки х509 сертификатов, 
благо, об этом существует достаточное количе- 
ство информации как в Сети, так и в печатных 
изданиях, которых предостаточно в книжных ма- 
газинах. Вкратце, используя openssl, необходимо 
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ВЧС-шлюз 
192.168.55.111 


локальная сеть 


192.168.1.0/24 


эинэнигэоэ иияннатигтеЕ 
воеэтАжех 


Клиент 
192.168.1.25 


НАТ девайс 
192.168.55.66 


создать свой СА (центр сертификации), а затем — 
подписанные сертификаты для сервера и для 
каждого из клиентов. Для контроля годности сер- 
тификатов необходимо выпустить CRL (список 
аннулирования сертификатов). Теперь помести 
открытый сертификат СА, а также открытую и се- 
кретную части сертификата сервера и СНЕ в ди- 
ректорию, используемую Ракуном, или сделай 
символический линк к директории по умолчанию 
(/etc/racoon/certs/). 


чтобы Openssl мог найти CA и СНЕ, их надо 
переименовать или слинковать к их хэшу 
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файл описания политик безопасности (ipsec.conf) 
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файл настройки Ракуна 


Итак, теперь приступим к более подробному рас- 
смотрению новых опций, которые будем исполь- 
зовать: 


— PATH CERTIFICATE 


"/ЕТС/ВАСООМ/СЕВТЗ" 
МЕСТОНАХОЖДЕНИЕ ДИРЕКТОРИИ 
С СЕРТИФИКАТАМИ; 


REMOTE ANONYMOUS { 

ОТКРЫВАЕТ СЕКЦИЮ КОНФИГУРАЦИИ 
ТУННЕЛЕЙ, ДЛЯ КОТОРЫХ 

НЕ ПРОПИСАНА ПОЛИТИКА; 


GENERATE_POLICY ON 

ВКЛЮЧАЕТ РЕЖИМ УСТАНОВЛЕНИЯ 
ПОЛИТИКИ БЕЗОПАСНОСТИ, 
ПОЛУЧЕННОЙ ОТ КЛИЕНТА; 


NAT_TRAVERSAL FORCE 
ИСПОЛЬЗОВАНИЕ МЕХАНИЗМА 
ПРЕОДОЛЕНИЯ МАТ ВО ВСЕХ СЛУЧАЯХ; 


IKE_FRAG ON 
ВКЛЮЧЕНИЕ РЕЖИМА ПОДДЕРЖКИ 
ФРАГМЕНТАЦИИ IKE; 


ESP_FRAG 552 

ВКЛЮЧЕНИЕ РЕЖИМА ПОДДЕРЖКИ 
ФРАГМЕНТАЦИИ ПАКЕТА 

ДО ИНКАПСУЛЯЦИИ В ESP; 


СА_ТУРЕ X509 "CACERT.PEM" 
ИМЯ ФАЙЛА CA; 


CERTIFICATE_TYPE Х509 

"ЗТАЕ!М. АВНОМТ. СОМ. СВТ" 
"STALIN.ARHONT.COM.KEY" 

ТИП И ИМЯ ОТКРЫТОГО СЕРТИФИКАТА 
И СЕКРЕТНОГО КЛЮЧА СЕРВЕРА; 


VERIFY_CERT ON 
ВКЛЮЧЕНИЕ ПОДДЕРЖКИ ПРОВЕРКИ 
СЕРТИФИКАТА КЛИЕНТА; 


AUTHENTICATION_METHOD 
HYBRID_RSA_SERVER 

ВЫБОР HYBRID_RSA_SERVER МЕТОДА 
АУТЕНТИФИКАЦИИ; 


MODE_CFG { 
ОТКРЫТИЕ СЕКЦИИ КОНФИГУРАЦИИ 
ИНФОРМАЦИИ ДЛЯ КЛИЕНТА; 


NETWORK4 192.168.1.1 
ОПРЕДЕЛЕНИЕ РЯДА ИП-АДРЕСОВ, 
НАЗНАЧАЕМЫХ КЛИЕНТАМ; 


POOL_SIZE 128 
РАЗМЕР РЯДА ИП-АДРЕСОВ, 
НАЗНАЧАЕМЫХ КЛИЕНТАМ; 


AUTH_SOURCE SYSTEM 
МЕХАНИЗМ АУТЕНТИФИКАЦИИ; 


DNS4 192.168.1.121 
ИП-АДРЕС DNS-CEPBEPA, 
НАЗНАЧАЕМОГО КЛИЕНТАМ; 


“ BANNER "/ETC/RACOON/MOTD" 


ПУТЬ К ФАЙЛУ ЗАГОЛОВКА, 
ПЕРЕДАВАЕМОМУ КЛИЕНТАМ. 


$ 


конфигурация клиента. Процесс конфигура- 
ции клиента практически такой же, как и для сер- 
вера, за исключением некоторых опций в файле 
конфигурации Ракуна. 


hil 


IPsec 


IPsec allows users to dealing three secure IPsec tunnels with rarnota anid points This page includes 
the setting for both ends of each secure tunnel and the Inbound/outbound Security Association (SA). 


~ Firewall Enable IPsec: © es (№ 
VPN 


Tunnek [Tunnel 1 =] 


"SNMP TunnelEnahle:  @ Yes Г No 


* Tools 
^ Status Inbound SA (same as Oulbound SA) 


spss 
LocaliPAddress:[ia2 fies f2 fo 
Subnet Mask: fess” fess” fess bp 
рае 92 Пр ро 
SubnetMask [255 [255 [255 fo _ 
SecurityGateway: [192 fies В fies 


Hash Algorithm: С None  MDS5(32 character) Г ЗНА! (40 character) 


Key: hi 23456789abcdef02468aceD1 3579be 


с e 
Encrypt Algorithm: None  3DES_CAC(48 character) 
С DES_CBC(16 character) 
Key: [0123456789 аб с9е!02468асе1 3579be 


Пример настройки IPSec на роутере 


Обзор новых опций в файле конфигурации клиента: 


“ MODE_CFG ON 
ВКЛЮЧЕНИЕ РЕЖИМА ЗАПРОСА ОПЦИЙ 
КЛИЕНТА; 


™ SCRIPT "/ETC/RACOON/PHASE1-UP.SH" 
PHASE1_UP 
ПУТЬ К CKPUNTY, ИСПОЛЬЗУЕМОМУ 
ПРИ ВЫПОЛНЕНИИ ПЕРВОЙ ФАЗЫ 
ОБМЕНА; 


™ SCRIPT "/ETC/RACOON/PHASE1-DOWN.SH" 
PHASE1_DOWN 
ПУТЬ К CKPUNTY, ИСПОЛЬЗУЕМОМУ 
ПРИ ОКОНЧАНИИ ПЕРВОЙ ФАЗЫ 
ОБМЕНА. 


После завершения конфигурации клиента запусти 
демон Ракун. В настоящей конфигурации полити- 
ка безопасности не прописана, соответственно, 
ядро не знает, какие пакеты нуждаются в защите, 
и не инициирует соединение — это нужно сделать 
вручную. 


инициирование туннеля 


Для успешного подключения необходимо иметь 
годный сертификат, подписанный центром сер- 
тификации, учетную запись и пароль на ВЧС- 
шлюзе. 

> — эпилог. Всегда имей в виду, что IPSec — до- 
статочно сложный протокол, особенно для начи- 
нающего пользователя, что увеличивает вероят- 
ность возникновения крупной ошибки. Дополни- 
тельные затруднения при установлении соедине- 
ния могут возникать при использовании различ- 
ных версий одного продукта и, что более вероят- 
но, различных имплементаций от разных произво- 
дителей. Начинай с простых решений: меньше ве- 
роятность того, что что-нибудь выйдет из под 
контроля. Не стремись устанавливать самые мощ- 
ные алгоритмы шифрования. Даже для очень про- 
двинутого хакера проще, и обычно результатив- 
нее, попытаться найти уязвимости в ВЧС-шлюзе, 
чем расшифровать закриптованный пакет. А в 
случае, если твоими данными заинтересовались 
спецслужбы, то они скорее всего не станут зани- 
маться криптоанализом трафика, а применят 60- 
лее эффективный метод ректотермального крип- 
тоанализа. Так что рассматривай IPSec не как 
панацею, а только как одну из частей многогран- 
ной мозаики систем безопасности © 


в разделе: 
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скрытая 
МОЩЬ 


В любой маршрутизатор Cisco встроены: прозрач- 
ный межсетевой экран Cisco IOS Firewall, средство 
построения VPN (IPSec или SSL) Cisco IOS VPN, 
прозрачная система предотвращения атак (Intrusion 
Prevention System) Cisco IOS IPS. Помимо этих хо- 
рошо известных механизмов существует и множе- 
ство других, не менее важных и полезных функций, 
делающих из обычного маршрутизатора полноцен- 
ное защитное устройство, ориентированное на за- 
щиту небольших и средних офисов. Аналогичный 
тезис применим и к коммутаторам. 

> = счего начинается администрирование марш- 
рутизатора. Администрирование функций безо- 
пасности нужно для защиты сети (внешней и вну- 
тренней) от несанкционированной активности. 
А значит, прежде чем начинать копаться в на- 


КОНТРОЛЬ ЖЕЛЕЗА 


© С КОРАБЛЯ НА БАЛ @ НЕПРИСТУПНАЯ КРЕПОСТЬ © НЕПРИСТУПНАЯ КРЕПОСТЬ 


МЕХАНИЗМЫ ЗАЩИТЫ 
МАРШРУТИЗАТОРОВ 
CISCO 


ЕСЛИ О НАДЕЖНОСТИ 

И ФУНКЦИОНАЛЬНОСТИ 
МАРШРУТИЗАТОРОВ И КОММУТАТОРОВ 
CISCO ВСЕ НАСЛЫШАНЫ, 

ТО О БЕЗОПАСНОСТИ МАЛО КТО ЗНАЕТ 


АЛЕКСЕЙ ЛУКАЦКИЙ 
{alukatsk@cisco.com} 


стройках оборудования, необходимо понять, что и 
от чего ты защищаешь. Начинай с политики безо- 
пасности, которая должна: 


—` ОПИСЫВАТЬ, КАКИЕ РЕСУРСЫ, КОМУ, 
КОГДА И КАК МОЖНО ИСПОЛЬЗОВАТЬ; 


“~ ОПИСЫВАТЬ ВСЕ ИНФОРМАЦИОННЫЕ 
ПОТОКИ В ЗАЩИЩАЕМОЙ СЕТИ; 


“~ НЕ ЗАБЫВАТЬ О ЗАЩИТЕ САМИХ 
СРЕДСТВ ОБЕСПЕЧЕНИЯ 
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ; 
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ЖЕЛЕЗА 


— БЫТЬ ТЕХНИЧЕСКИ РЕАЛИЗУЕМОЙ; 
— БЫТЬ ПОСЛЕДОВАТЕЛЬНОЙ; 


— БЫТЬ ГЛОБАЛЬНОЙ И ПРИМЕНИМОЙ 
КО ВСЕЙ СЕТИ, А НЕ К ОТДЕЛЬНЫМ 
ЕЕ СЕГМЕНТАМ; 


— ЧЕТКО ОПИСЫВАТЬ РОЛИ 
И ОТВЕТСТВЕННОСТЬ ВСЕХ 
ЗАИНТЕРЕСОВАННЫХ ЛИЦ; 


— БЫТЬ ГИБКОЙ К ПОСТОЯННО 
ИЗМЕНЯЮЩИМСЯ ТЕХНОЛОГИЯМ 
И БИЗНЕС-ПРОЦЕССАМ; 


— БЫТЬ ПОНЯТНОЙ; 


“ ВКЛЮЧАТЬ В СЕБЯ НЕ ТОЛЬКО ЗАДАЧИ 
ОТРАЖЕНИЯ УГРОЗ, НО И ПРОЦЕССЫ 
РАССЛЕДОВАНИЯ И РЕАГИРОВАНИЯ 
НА АТАКИ. 


И еще грамотная политика безопасности не дол- 
жна диктовать бизнесу, как ему работать — все 
должно быть с точностью наоборот. При этом по- 
литика не должна зависеть от используемых 
средств защиты. Сегодня это может быть маршру- 
тизатор Cisco 871W, завтра маршрутизатор Cisco 
ISR 3845, а послезавтра многофункциональное 3a- 
щитное устройство «все в одном» Cisco ASA 5550. 
Грамотная политика будет без изменений «рабо- 
тать» для любого из этих устройств. Более того, 
если требования по защите не очень специфичны, 
то эта же политика может быть использована 
и для других производителей средств защиты. 

> принципы безопасности маршрутизаторов 
Cisco. Маршрутизатор может быть логически раз- 
делен на 4 функциональных компонента, отвечаю- 
щих за решение своих задач: 


1 РАТА РЕАМЕ — УРОВЕНЬ ДАННЫХ, 
ЧЕРЕЗ КОТОРЫЙ ПРОХОДИТ ВЕСЬ 
СЕТЕВОЙ ТРАФИК. 


2 CONTROL PLANE — УРОВЕНЬ 
ПОСТРОЕНИЯ И ОБНОВЛЕНИЯ ТАБЛИЦ 
МАРШРУТИЗАЦИИ. 


3 MANAGEMENT PLANE — УРОВЕНЬ 
УПРАВЛЕНИЯ МАРШРУТИЗАТОРОМ 
(SSH, SNMP, SYSLOG И Т.Д.) 
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4 SERVICE PLANE — YPOBEHb 
ОБЕСПЕЧЕНИЯ КАЧЕСТВА СЕРВИСА 
И ОБСЛУЖИВАНИЯ. 


Очевидно, что механизмы защиты маршрутизато- 
ров должны быть применены ко всем этим уров- 
ням без исключения. Причем защита уровней уп- 
равления и контроля зачастую является даже бо- 
лее важной, чем уровень безопасности данных. 
Списки контроля доступа (Access Control List, 
ACL), однонаправленная проверка передачи по 
обратному маршруту (Unicast Reverse Path Forwar- 
ding, uRPF), ограничение полосы пропускания 
(Committed Access Rate, CAR) и так далее, очень 
важны, но позволяют ограничить только опреде- 
ленные типы трафика. А вот недооценка вопросов 
самозащиты самого маршрутизатора может по- 
влечь за собой печальные последствия — захват 
и компрометация всего устройства, локальное 
или дистанционное изменение таблиц маршрути- 
зации, перехват трафика, реализация атак «от- 


каз в обслуживании» (Denial of Service, DoS) ит.п. 
+>  autosecure. Несколько лет назад по интернету 
ходил анекдот: «Чем отличается Windows 95 от Win- 
dows 98? Тем, что в Windows 95 не используется 
95% возможностей, а в Windows 98 не используется 
98% возможностей». Отчасти это так. Производите- 
ли, чтобы удовлетворить как можно больше запро- 
сов со стороны своих заказчиков, оснащают свои 
продукты очень большим количеством функций, ко- 
торые зачастую висят «мертвым» грузом и у многих 
попросту не используются (многие ли используют 
асимметричную маршрутизацию?). Хорошо, если 
эти функции просто не мешают. А если они стано- 
вятся каналом проникновения злоумышленников? 

При администрировании операционных си- 
стем существует правило — «отключить все, что 
не нужно для выполнения поставленных задач». 
Аналогичное правило применимо и к сетевому 
оборудованию. Вручную отключать десятки неис- 
пользуемых механизмов — дело неблагодарное 
(можно что-то и забыть). Поэтому в маршрутиза- 
торах Cisco, начиная с версии IOS 12.3, появился 
механизм AutoSecure, который: 


—` ЗАПРЕЩАЕТ ПОТЕНЦИАЛЬНО ОПАСНЫЕ 
ГЛОБАЛЬНЫЕ СЕРВИСЫ 
(FINGER, PACKET ASSEMBLER AND 
DISASSEMBLER, TCP/UDP SMALL 
SERVICES, BOOTP SERVER, HTTP 
SERVER, CDP, NTP, SOURCE ROUTING...); 


~~ ЗАПРЕЩАЕТ ПОТЕНЦИАЛЬНО ОПАСНЫЕ 
СЕРВИСЫ ПО ИНТЕРФЕЙСАМ (ICMP, 
PROXY-ARP, BROADCAST, MOP, ICMP 
UNREACHABLE, ICMP REPLY); 


— ВКЛЮЧАЕТ РАСШИРЕННЫЕ МЕХАНИЗМЫ 
ЗАЩИТЫ (ШИФРОВАНИЕ ПАРОЛЕЙ, 
НАСТРОЙКА БАННЕРОВ, 
ВЗАИМОДЕЙСТВИЕ С СЕРВЕРАМИ 
АУТЕНТИФИКАЦИИ, АНТИСПУФИНГ, 
CISCO EXPRESS FORWARDING, 
БЛОКИРОВАНИЕ ЗАРЕЗЕРВИРОВАННЫХ 
АДРЕСОВ IANA, УСТАНОВКА МАРШРУТА 
ПО УМОЛЧАНИЮ NULL 0, CBAC, 
NETFLOW...); 


— ОБЕСПЕЧИВАЕТ ЗАЩИТУ САМОГО 
МАРШРУТИЗАТОРА (SSH И SCP, 
НАСТРОЙКА ПАРОЛЕЙ И УЧЕТНЫХ 
ЗАПИСЕЙ, БЛОКИРОВАНИЕ $ММР...); 


— ВКЛЮЧАЕТ РЕГИСТРАЦИЮ СОБЫТИЙ 
БЕЗОПАСНОСТИ. 


Cisco AutoSecure может функционировать в двух 
режимах — интерактивном и автоматическом. В 
первом случае администратор отвечает на вопро- 
сы по своей собственной сети, а во втором — на- 
стройка осуществляется автоматически, в соот- 
ветствие с параметрами по умолчанию. Причем 
включить Cisco AutoSecure можно всего одной ко- 
мандой: Router# auto secure. 

По окончании работы сервиса на экран вы- 
водится список всех сделанных настроек, и адми- 
нистратор должен разрешить все сделанные из- 
менения. Проверка может быть осуществлена дву- 
мя путями — с помощью Security Device Manager 
(SDM) и команды 10$ EXEC, которая показывает 
настройки, сделанные после AutoSecure. Наибо- 
лее интересен именно первый путь (функция Secu- 


rity Audit), так как он позволяет в удобном виде по- 
лучить ответ на вопрос: «Какие из существующих 
механизмов защиты включены, а какие нет?». 

> — расширения ios login. Начиная с версии IOS 
12.2(25)$, маршрутизаторы Cisco могут существен- 
но усложнить жизнь злоумышленникам, желающим 
получить несанкционированный доступ к сетевому 
оборудованию. Одна из распространенных атак, 
позволяющих получить такой доступ, — подбор па- 
роля. Для этого используются различные утилиты, к 
примеру, THC-Hydra или Brutus. Самый простой 
путь блокировать эту атаку — увеличить время за- 
держки между попытками ввода логина и пароля. 
Сделать это можно тремя путями: через уже опи- 
санную функцию AutoSecure или с помощью спе- 
циальных команд — login delay и login block-for. Эти 
команды можно использовать и в паре: 


Router (сопЁ1а) # login block-for 100 
attempts 5 within 50 
Router (config)# login quiet-mode 
access-class myacl 

Router (config) # login 


Router (config) # login 


delay 10 
on-failure log 
Router (config)# login on-success log 
Первая команда должна вводиться до использования 
любых других команд login. Она на 100 секунд блоки- 
рует любые попытки подключения к устройству, если 
в течение 50 секунд было осуществлено 5 неудачных 
регистраций на маршрутизаторе. Если есть адреса, 
которые не должны быть блокированы (например, 
административные), то они описываются командой 
login quiet-mode access-class. Команда login delay 


определяет время задержки перед разрешением 
повторной регистрации. Если ее не указать, то авто- 
матическая задержка будет осуществлена по коман- 
де login block-for Ha 1 секунду. Последние 2 команды 
включают регистрацию успешных и неудачных попы- 
ток подключения к маршрутизатору. 

Проверить настройки подсистемы регистрации 
можно путем использования команды Show login. A 
команда show login failures показывает все неудач- 
ные попытки подключения к устройству. 

3» — защита уровня контроля. Почти все архитек- 
туры уязвимы к атакам «отказ в обслуживании». При 
воздействии на сетевое оборудование она несет 
серьезную опасность, так как выведение его из строя 
приводит к неработоспособности всей сети. Необхо- 
димо оградить процессор маршрутизатора от обра- 
ботки вредоносного трафика, и, начиная с версии Ю$ 
12.2, такая возможность появилась и стала носить 
название Control Plane Policing. С ее помощью можно: 


™ КЛАССИФИЦИРОВАТЬ И ОГРАНИЧИТЬ 
КАЖДЫЙ КЛАСС ТРАФИКА, 
ПОСТУПАЮЩИЙ НА ОБРАБОТКУ 
В УРОВЕНЬ КОНТРОЛЯ; 


“ ОБЕСПЕЧИТЬ МЕХАНИЗМ РАННЕГО 
ОТБРАСЫВАНИЯ ПАКЕТОВ, 
НАПРАВЛЕННЫХ НА ЗАКРЫТЫЕ 
ИЛИ ИНЫЕ TCP/UDP-NOPTHbI; 


—` ОБЕСПЕЧИТЬ ЗАЩИТУ ОТ 
ПРОТОКОЛЬНОГО ФЛУДИНГА; 


“ ОБЕСПЕЧИТЬ QOS ДЛЯ ПАКЕТОВ, 
НАПРАВЛЕННЫХ НА УРОВЕНЬ 
КОНТРОЛЯ; 
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™ ОБЕСПЕЧИТЬ НАДЕЖНОСТЬ, 
ЗАЩИЩЕННОСТЬ И ДОСТУПНОСТЬ. 


Для реализации данного механизма необходимо 
пройти 4 обязательных и 2 опциональных шага: 


1 ЗАДАТЬ КРИТЕРИИ 
ДЛЯ КЛАССИФИКАЦИИ ПАКЕТОВ. 


2 ОПРЕДЕЛИТЬ ПОЛИТИКИ СЕРВИСА. 
з ПЕРЕЙТИ В РЕЖИМ НАСТРОЙКИ. 
4 ПРИМЕНИТЬ ПОЛИТИКИ. 


5 НАСТРОИТЬ ПОЛИТИКИ ФИЛЬТРАЦИИ 
ПОРТОВ (ДЛЯ РАННЕГО ОТБРАСЫВАНИЯ 
ПАКЕТОВ). 


6 НАСТРОИТЬ ПОЛИТИКИ ПОРОГОВЫХ 
ЗНАЧЕНИЙ (ЗАЩИТА 
ОТ ПРОТОКОЛЬНОГО ФЛУДИНГА). 


Для реализации первой задачи необходимо ис- 
пользовать 2 команды: задающую имя класса тра- 
фика (class-map) и описывающую критерии для 
данного трафика (match). Параметр match-any ro- 
ворит о том, что хотя бы один критерий классифи- 
кации должен встретиться в трафике (использова- 
ние параметра match-all требует обнаружения всех 
критериев): 


Для определения политики необходимо выполнить 
3 команды: задающую имя политики (ройсу-тар), 
класс (class) и определяющую политику (police): 


Применение политики осуществляется в 2 задачи — 
связывание политики с субинтерфейсом (control- 
plane) и указание имени используемой политики: 


Для оставшихся 2-х опциональных задач необхо- 
димо использование команды с!азз-тар type, схо- 
жей по синтаксису с командами, описанными вы- 
ше. Фильтрация портов и пороговых значений 
описывается следующим образом: 
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Проверить настройки подсистемы регистрации 
можно путем использования команды show policy 
тар control-plane. 

>» защита уровня управления. Механизм Con- 
trol Plane Policing (СоРР) позволяет защитить 
маршрутизатор от обработки вредоносного тра- 
фика и не дать ему попасть в защищаемую сеть. 
Однако, все равно остается проблема защиты са- 
мого устройства от несанкционированного досту- 
па. Эту задачу решает механизм Management 
Plane Policing (MPP), который позволяет описать 
один или несколько интерфейсов маршрутизатора 
как управляющие, что, в свою очередь, блокирует 
любые попытки управления с «неуправляющих» 
интерфейсов. Иными словами, ты ограничиваешь 
доступ по протоколам FTP, HTTP, HTTPS, SSH, 
Telnet, SNMP и ТЕТР. Это, конечно, можно было 
бы реализовать и с помощью списков контроля 
доступа (ACL), но в этом случае снижается произ- 
водительность и масштабируемость маршрутиза- 
тора, вынужденного тратить ресурсы на обработку 
ACL. Настройка данного механизма осуществля- 
ется достаточно просто: 


Первая команда включает режим конфигурации, а 
вторая — задает его настройки. После параметра 
allow можешь указать протоколы, которые разре- 
шаются на данном интерфейсе (в приведенном 
примере только SSH и SNMP). 

Проверить наличие и настройки управляю- 
щих интерфейсов можно командой Router# show 
management-interface. 
> CPU и Memory Thresholding Notification. 
Очень часто признаком атаки «отказ в обслужива- 
нии» или другой вредоносной активности является 
перегрузка центрального процессора или нехват- 
ка памяти, вызванные наличием какого-нибудь 
процесса, «забирающего» все ресурсы «под се- 
бя». Механизм контроля аналогичных действий 
есть в маршрутизаторах Cisco: в CPU и Memory 
Threshholding Notification. 

В первом случае можешь сигнализировать, 
когда загрузка процессора начнет превышать 
максимально заданную или падает ниже мини- 
мально заданной границы. Делается это следую- 
щим образом: 


Первая команда разрешает посылать уведомле- 
ния о нарушении, связанном с загрузкой процес- 
сора. Вторая описывает адрес, на который посы- 
лается SNMP Trap. Третья команда устанавливает 
пороговые значения: верхняя граница — 80% и ни- 
жняя граница — 20% (5 — это интервал запроса 
значения загрузки CPU). 

Задание уведомления о критическом превы- 
шении доступной памяти выполняется аналогич- 
ным образом. При этом ты видишь генерацию сиг- 
нала тревоги, когда в маршрутизаторе остается 
меньше 20 Кб свободной процессорной памяти 
или памяти ввода/вывода: 


С сигнализацией о нехватке памяти связан меха- 
низм выделения определенного объема памяти 
под критичные задачи (например, под регистра- 
цию событий). Это позволяет быть уверенным, что 
важная операция все равно будет произведена да- 
же при условии нехватки памяти. При этом резер- 
вируемая память не должна превышать 25% от 
всего объема доступной памяти: 


> 10S Software Image Verification. Регулярно Ha 
различных форумах всплывает тема встраивания 
«чужого» кода в Cisco IOS, и какая это огромная 
угроза всему интернету. Но с самого начала целост- 
ность кода, загружаемого на маршрутизатор, можно 
проверять — достаточно сравнить контрольную сум- 
му МО5 имиджа IOS, установленного на устройство, 
с суммой, показанной на сайте cisco.com, Однако не 
многие пользователи делали это, ссылаясь на слож- 
ность и длительность процедуры. Чтобы облегчить 
такую «непростую» задачу, у пользователей в вер- 
сии 12.0(26)$ появилась команда verify, которую 
можно и удобно использовать в трех случаях: 


ГЛОБАЛЬНАЯ И АВТОМАТИЧЕСКАЯ 
ПРОВЕРКА ЦЕЛОСТНОСТИ ИМИДЖА 
(ПОСЛЕ ЛЮБОЙ ПОПЫТКИ 
КОПИРОВАНИЯ ИЛИ ПЕРЕЗАГРУЗКИ): 


Воцеек (сопЁ19)# file verify auto 


2 ПРОВЕРКА ЦЕЛОСТНОСТИ ИМИДЖА 
ПОСЛЕ КОПИРОВАНИЯ 
ИЗ КАКОГО-ЛИБО ИСТОЧНИКА: 


Router (сопЕ19)# copy /verify 
Веро. 1.1. ое Salis ik 
disk0o: 


3 ПРОВЕРКА ЦЕЛОСТНОСТИ ИМИДЖА 
ПОСЛЕ ПЕРЕЗАГРУЗКИ УСТРОЙСТВА: 


Router# reload /verify 


> Flexible Packet Matching. Многие слышали 
о TOM, что в маршрутизаторы Cisco встроена систе- 


ма предотвращения атак Cisco IOS IPS. Но очень 
мало кто слышал о Flexible Packet Matching, которая 
позволяет описывать и обнаруживать любые инте- 
ресующие события, например, атаки, для которых 
еще никто не написал сигнатуры. Делается это с по- 
мощью XML, который позволяет описать любые по- 
ля заголовка пакета и тела данных любого протоко- 
ла. Для наиболее распространенных из них суще- 
ствуют специальные файлы описания заголовка 
протокола — Protocol Header Definition File, PHDF. 


фрагмент PHDF файла для протокола IP: 
<?xml version="1.0" encoding="UTF-8"?> 
<phdf> 
<version>1</version> 
<protocol name="ip" description= 
"Definition-for-the-IP-protocol"> 
<field name="version" 
description="IP-version"> 
<offset type="fixed-offset" 
units="bits">0</offset> 
<length type="fixed" 
units="bits">4</length> 
</field> 
<field name="ihl" 
ader-Length"> 
<offset type="fixed-offset" 


description="IP-He- 


units="bits">4</offset> 
<length type="fixed" 
units="bits">4</length> 
</field> 
<field name="tos" description="IP-Ty- 
pe-of-Service"> 
<offset type="fixed-offset" 
units="bits">8</offset> 


<length units="bits" type="fi- 


xed">8</length> 
</field> 


<headerlength type="fixed" va- 
lue="20"></headerlength> 


<constraint field="version" value="4" 
operator="eq"></constraint> 
<constraint field="ihl" value="5" 


operator="eq"></constraint> 
</protocol> 
</phdf> 


Описать же любую атаку с помощью FPM стано- 
вится совсем нетрудно (если понимать критерии 
этой атаки). 


классический SYN Flood: 

! Загружаем файлы описания заголовков 
ПЕР ме МАР 

Router (сопЕ19)# load protocol 
flash ip) phat 

Router (config)# load protocol 
Тассо. ple 

! В классе stack определяем 
последовательность заголовков 

Router (сопЕ19)# class-map type stack 
match-all ip_tcp 

Router (config-cmap)# description "match 
TCP over IP packets" 

Router (config-cmap)# match field ip 
protocol eq 0x6 next tcp 

! Определяем критерии для атаки SYN Flood 
Router (сопЁ19)# class-map type 
access-control match-all tcpsynflood 
Router (config-cmap) # description 


"match on tcp syn packets from source 
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address 10.10.10.3" 

Router (config-cmap)# match field ip 
source-addr eq 10.10.10.3 

Router (config-cmap)# match field tcp 
control bits eq 2 mask 0x3D 

! Определяем действие для данного 


трафика (блокирование), а потом 
применяем данную политику (!) к нужному 
интерфейсу 


Router (сопЁ1а)# policy-map type 
access-control fpm_tcp_syn_policy 
Router (config-pmap)# description 
NOOlnC vA вов ICP SVN Е loodmattacks. 
Router (config-pmap)# class tcpsynflood 
Router (config-pmap-c)# drop 

Router (config)# policy-map type 
access-control fpm_policy 

Router (config-pmap) # description 

"drop tcp syn packets from source 
addwess 0 ORR su 
Router (config-pmap) 


Glass теще 

Router (config-pmap-c)# service-policy 
РРР 

Router (config)# interface GigabitEthernet 0/1 


Router (config-if)# service-policy type 
access-control input fpm_policy 


> Advanced Application Inspection and Control. 
Решения Cisco давно вышли из определения, 
данного в любом компьютерном словаре термину 
«маршрутизатор». Например, когда говорят о 
контроле доступа к защищаемым ресурсам 
(внешним или внутренним), то обычно первое, 
что приходит в голову — списки контроля досту- 
па (Access Control List, ACL), существующие в лю- 
бом маршрутизаторе. Однако, как только загова- 
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ривают о контроле прикладного трафика (напри- 
мер, блокировании Instant Messaging или P2P), то 
все начинают смотреть в сторону отдельных 
устройств. А ведь в маршрутизаторах Cisco есть 
и такие функции защиты. И это не только описан- 
ный выше Flexible Packet Matching или известный 
не первый год механизм Network-Based Applica- 
tion Recognition (МВАН). Для контроля того же 
прикладного трафика можно использовать ко- 
манду ip inspect. 


фрагмент конфигурации для дополнительной про- 
верки популярных протоколов на соответствие по- 
литике безопасности: 

] name my-ios-fw http 
https 
esmtp 
pop3 
imap3 


ip inspect 


ip inspect name my-ios-fw 
my-ios-fw 


my-ios-fw 


ip inspect 
ip inspect 


name 
name 
ip inspect name my-ios-fw 
dns 
вю 
ntp 


icmp 


ip inspect my-ios-fw 


ip inspect 


name 
name my-ios-fw 


ip inspect name my-ios-fw 


ip inspect name my-ios-fw 
Ona не столь популярных протоколов ситуация 
сильно не меняется — надо добавить всего одну 


команду: 


ip port-map user-vne port tcp 5900 
ip inspect name my-ios-fw user-vne 


После этого можно применить данные правила к нуж- 
ному интерфейсу маршрутизатора: 


interface fastethernet 0/1 
ip inspect my-ios-fw in 


~ Cisco 1800 Seces 


А для инспекции разрешенного трафика, внутри 
которого может скрываться трафик запрещенный 
(именно так часто инкапсулируется Instant Messa- 
ging или P2P), достаточно использовать команды: 


appfw policy-name abuse-control 
application http 

port-misuse default action reset alarm 
ip inspect name my-ios-fw appfw 
abuse-control 


> ТР Source Tracker. Итак, есть достаточное ко- 
личество механизмов обнаружения и отражения 
атак и другой подозрительной активности. Что те- 
перь делать, когда пришел сигнал о попытке нес- 
анкционированного доступа? Сидеть, сложа руки, — 
не совсем правильно :). Надо быстро отследить ис- 
точник атаки и собрать доказательства его вредо- 
носной деятельности, чтобы разобраться самому 
или передать дело в руки правоохранительных ор- 
ганов. Особенно важно сделать это при подмене 
адреса, когда ты не знаешь, с какого интерфейса 
маршрутизатора пришел вредоносный трафик, и 
куда двигаться в дальнейшем расследовании. Для 
решения этой задачи можно использовать меха- 
низмы маршрутизаторов Cisco IOS: ACL, NetFlow, 
URPF и т.д. Ho наиболее эффективный способ — 
задействование специальной функции IP Source 
Tracker. Фрагмент конфигурации будет выглядеть 
следующим образом: 


Router (сопЁ1а)# ip source-track 192.168.1.1 


Эта команда позволяет отслеживать трафик, по- 
лучаемый с адреса 192.168.1.1. Посмотреть стати- 
стику по данному адресу можно командой show ip 
source-track. 

> = финал. Выше было кратко описано 10 меха- 
низмов защиты маршрутизаторов Cisco... Это 
много или мало? Для статьи — безусловно, нема- 
ло. Для понимания всей мощи защитных механиз- 
мов оборудования С!5со — капля в море. Всего в 
маршрутизаторах Cisco существует свыше сотни 
различных механизмов, которые позволяют об- 
наруживать, отражать и расследовать различные 
нарушения политики безопасности. Зачастую до- 
статочно просто настроить существующий функ- 
ционал, чтобы покрыть все потребности неболь- 
шого офиса в защите. А если добавить сюда воз- 
можность маршрутизаторов Cisco ISR выполнять 
функции беспроводной точки доступа, коммутато- 
ра начального уровня, телефонной станции и так 
далее, то становится ясно, что для эффективного 
и надежного подключения небольшой сети к ин- 
тернету достаточно всего одного устройства. 

Его цена может быть несколько выше, чем 
цена на маршрутизаторы D-Link, Zyxell, ЗСот и 
других производителей. Но если суммировать це- 
ну нескольких коробок, решающих те же задачи, 
что и один маршрутизатор Cisco, то выгода станет 
очевидной © 
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— по факсу: (495) 780-88-24; 


— по адресу: 119021, Москва, ул. Тимура Фрунзе, д. 11, стр. 44-45, 
ООО «Гейм Лэнд», отдел подписки. 


Внимание! 
Подписка оформляется в день обработки купона и квитанции. 


— купоны, отправленные по факсу или электронной почте, 
обрабатываются в течение 5 рабочих дней. 


— купоны, отправленные почтой на адрес редакции, обрабатываются 


в течение 20 дней. 


Рекомендуем использовать электронную почту или факс. 
Подписка производится с номера, выходящего через один 


календарный месяц после оплаты. Например, если произвести оплату 


в сентябре, то подписку можно оформить с ноября. 


ПОДПИСКА ДЛЯ ЮРИДИЧЕСКИХ ЛИЦ 
Москва: ООО «ИНТЕР-ПОЧТА» (495) 500-00-60 www.interpochta.ru 
Для получения счета на оплату подписки нужно прислать заявку с названием журнала, 


периодом подписки, банковскими реквизитами, юридическим и почтовым адресом, телефоном 
и фамилией ответственного за подписку лица. 
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В силу все более широкого распространения сете- 
вых технологий, потребность в настройке оборудо- 
вания часто возникает не только у профессиона- 
лов, виртуозно владеющих языком командной 
строки и помнящих наизусть все параметры про- 
TOKONOB, но и у обычных пользователей и специа- 
листов в смежных областях высоких технологий. 
При этом далеко не у каждого спеца есть возмож- 
ность отслеживать все новые веяния и постоянно 
находиться в курсе новинок сетевых технологий. 
Это приводит к тому, что даже самое функцио- 
нальное устройство, если его функции нельзя бы- 
стро и просто настроить, не штудируя предвари- 
тельно тома документации, никогда не будет ис- 
пользоваться эффективно. 

Возможность настройки оборудования через 
графический интерфейс с применением мастеров 
и шаблонов конфигураций становится в телеком- 
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НАСТРОЙКА 
МАРШРУТИЗАТОРА 
ЗА 5 МИНУТ 


В НАШИ ДНИ РАЗВИТИЕ СЕТЕВЫХ 
ТЕХНОЛОГИЙ ДВИЖЕТСЯ ВПЕРЕД 
СЕМИМИЛЬНЫМИ ШАГАМИ. 
ПОЯВЛЯЮТСЯ НОВЫЕ ПРОТОКОЛЫ 

И СТАНДАРТЫ, ВЫХОДЯТ В СВЕТ НОВЫЕ 
УСТРОЙСТВА, ПРОИЗВОДИТЕЛИ 
ПРИДУМЫВАЮТ МНОЖЕСТВО НОВЫХ 
СПОСОБОВ ПРИМЕНЕНИЯ ТЕХНОЛОГИЙ 
В НАШЕЙ ПОВСЕДНЕВНОЙ ЖИЗНИ 


сис 


{ темный инженер 
Cisco 
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муникационной индустрии стандартом де-факто. 
В последние годы возможности встроенных в марш- 
рутизаторы Cisco графических средств управле- 
ния возросли настолько, что теперь можно сравни- 
вать их со специализированными сетевыми систе- 
мами управления. 

> первоначальная настройка с интеграцией 
сервисов. Cisco Security Device Manager (SDM) — 
web-ytunuta для настройки маршрутизаторов Cis- 
со. SDM предназначена для использования с ши- 
роким спектром маршрутизаторов Cisco, начиная 
с серии 800 и заканчивая серией 7301. Она преду- 
становленна на каждый маршрутизатор Cisco 
с интеграцией сервисов и обеспечивает графиче- 


ский инструментарий для безопасной настройки 
маршрутизатора. SDM поддерживает конфигура- 
ции LAN/WAN, VPN и межсетевых экранов в рам- 
ках программной среды Cisco IOS. 

Кроме того, SDM выполняет функции аудита 
системы безопасности, применяемые для провер- 
ки конфигурации маршрутизатора, и предлагает 
варианты повышения уровня защиты в соответ- 
ствии с рекомендациями ICSA Labs и Cisco Techni- 
cal Assistance Center. SDM предлагает простой 
и экономичный способ управления всеми функ- 
циями безопасности, имеющимися в маршрутиза- 
торах доступа Cisco, и настройку маршрутизатора 
своими силами. 
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Настройка SDM 


>  передтобой лежит новый маршрутизатор Cisco. 
Чтобы установить последнюю версию SDM и полу- 
чить возможность быстрой настройки большей ча- 
сти основных функций через графический интер- 
фейс, нужно выполнить определенные действия... 

Рассмотрим наиболее «сложную» ситуацию. 
Конфигурационный файл удален, поэтому полу- 
чить доступ к командной строке устройства можно 
только с помощью консольного кабеля. Такой ка- 
бель всегда входит в комплект поставки, но при 
желании его довольно просто изготовить само- 
стоятельно, воспользовавшись инструкцией 
на сайте Cisco (www.cisco.com), 

Если для администрирования используешь 
Windows, то для получения доступа к командной 
строке через консольный порт достаточно запу- 
стить HyperTerminal. В нем нужно создать новое со- 
единение с настройками, которые автоматически 
будут установлены при нажатии Restore Defaults. 

Предположим, в флеш-памяти маршрутиза- 
тора нет ничего, кроме файла-образа операцион- 
ной системы IOS с расширением bin. 


вход в привилегированный режим 


вход в режим настройки конфигурации 


установка пароля для привилегированного режима 


включение и настройка IP-anpeca на интерфейсе 
(через который будет происходить загрузка ПО 
и дальнейшее конфигурирование устройства) 


включение hitp и https серверов (для контроля до- 
ступа по hitp/https будут использоваться учетные 
записи из локального конфигурационного файла) 


добавление в конфигурационный файл учетной 
записи пользователя с высшим уровнем доступа 


активация доступа к командной строке 
по протоколам telnet и http 


В Cisco IOS по умолчанию доступ к этим протоко- 
лам закрыт, поскольку при пустом конфигурацион- 
ном файле отсутствуют какие-либо пароли по умол- 
чанию, которые могли бы воспрепятствовать захва- 
ту контроля над подключенным к сети устройством. 
> — все необходимые подготовительные действия 
произведены. Чтобы скачать дистрибутив послед- 
ней версии SDM с сайта Cisco, понадобится учетная 
запись с гостевым уровнем доступа. Для ее получе- 
ния достаточно пройти процедуру регистрации. По- 
сле этого можно запускать процедуру установки, 
во время которой нужно будет ввести ранее настро- 
енный !Р-адрес и учетную запись пользователя. 
Всю дальнейшую настройку маршрутизатора мож- 
но производить через графический интерфейс. 
Доступны три варианта установки файлов 
SDM: на компьютер, во флеш-память маршрутиза- 
тора и в оба места одновременно. Интерфейс 
SDM написан на JAVA, и в любом случае будет вы- 


полняться на компьютере. Это сделано для сохра- 
нения вычислительных ресурсов маршрутизато- 
ров при решении основных задач. Установка SDM 
во флеш-память дает возможность настраивать 
маршрутизатор с любого компьютера, даже если 
файлы SDM на нем не установлены. 

Если устанавливаешь SDM во флеш, на ос- 
нове доступного объема памяти можно установить 
полнофункциональный SDM или его сокращенную 
версию — SDM Express. Версия Express позволяет 
настраивать базовые функции маршрутизатора 
и контролировать работу различных подсистем. 
Она идеально подходит для настройки маршрути- 
заторов неопытными пользователями. 

Если маршрутизатор содержит встроенную 
беспроводную точку доступа, можешь установить во 
флеш-память файлы для настройки Wi-Fi через web- 
интерфейс. Они устанавливаются одновременно 
с $ОМ`ом, но, в отличие от него, не могут выполнять- 
ся с компьютера. Обычно настройку беспроводной 
точки доступа значительно удобнее производить че- 
рез меб-интерфейс. Только в исключительных слу- 
чаях может потребоваться изменение параметров 
беспроводной сети в режиме командной строки. 

Профессионалам, привыкшим настраивать 
оборудование из командной строки, SDM позволит 
сэкономить время при проведении рутинных опера- 
ций и создании простых конфигураций. Любые на- 
стройки, сделанные в командной строке, незамедли- 
тельно отображаются в графическом интерфейсе. 

По-прежнему, многие функции недоступны 
для настройки через графический интерфейс. 
Их конфигурация осуществляется из командной 
строки. Последующее изменение конфигурации 
в графическом интерфейсе SDM никак не затраги- 
вает сделанные через CLI изменения © 
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защита 
кровью 


Работу любой технологии, обеспечивающей защи- 
щенную передачу данных через неподконтроль- 
ную, а потому всегда потенциально опасную сре- 
ду, можно условно разделить на две фазы. Первая 
фаза представляет собой установление соедине- 
ния с обязательной проверкой подлинности взаи- 
модействующих сторон (аутентификацию), приме- 
нением политик безопасности (авторизацию) и ус- 
тановлением ключей шифрования для второй фа- 
зы. На второй фазе происходит непосредственно 
передача зашифрованных ранее установленными 
ключами данных, целостность (неизменность) ко- 
торых обязательно проверяется при приеме. 

> первая фаза на примере технологии IPSec 
Еазу УРМ. Перед тем, как пользователь сможет 
передавать зашифрованные данные в удаленную 
сеть, он должен осуществить процесс подключе- 
ния. При этом происходит процедура аутентифи- 
кации, во время которой пользователь должен 
подтвердить, что он именно тот, за кого себя выда- 
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РОСТ ЧИСЛА НАДОМНЫХ РАБОТНИКОВ И ВОЗРОСШАЯ МОБИЛЬНОСТЬ 
ПОЛЬЗОВАТЕЛЕЙ ВСЕ ЧАЩЕ СТАВЯТ ПЕРЕД НЕБОЛЬШИМИ КОМПАНИЯ ЗАДАЧУ 
ОБЕСПЕЧЕНИЯ УДАЛЕННОГО ДОСТУПА К КОРПОРАТИВНЫМ РЕСУРСАМ 

(REMOTE ACCESS VPN). А ПОВСЕМЕСТНОЕ РАСПРОСТРАНЕНИЕ НЕДОРОГОГО 
ШИРОКОПОЛОСНОГО ДОСТУПА ПО ТЕХНОЛОГИЯМ DSL, WIFI И ETHERNET СОЗДАЕТ 
ВСЕ УСЛОВИЯ ДЛЯ ТОГО, ЧТОБЫ УДАЛЕННЫЙ ДОСТУП СТАЛ РЕАЛЬНОСТЬЮ 


ет, и действительно имеет право произвести уда- 
ленное подключение. Аналогом этого процесса из 
реальной жизни является предъявление паспорта 
сотруднику банка. В IPSec VPN-ceTax для аутенти- 
фикации удаленных пользователей может исполь- 
зоваться заранее заданное на клиентских устрой- 
ствах и сервере секретное значение (ключ), циф- 
ровые сертификаты формата х.509, основанные на 
использовании технологий цифровой подписи, груп- 
повые и персональные имена пользователей и па- 
роли, а так же различные комбинации этих методов. 

В настоящее время наиболее защищенным 
способом аутентификации является использова- 
ние цифровых сертификатов. Аутентификация с 
использованием цифровых сертификатов не под- 
вержена наиболее совершенному методу атак 


Cisco Syste 


«man in the middle» (MITM, «человек посередине»). 
Суть этого метода состоит в TOM, что злоумыш- 
ленник некоторым образом получает возмож- 
ность пропустить через себя весь трафик между 
двумя взаимодействующими устройствами. При 
этом, он выступает в качестве своеобразного 
ргоху-сервера, который может выборочно пропус- 
кать через себя трафик легитимных устройств, 
подменяя часть данных на собственные. Из пере- 
численных методов только использование цифро- 
вых сертификатов позволяет полностью исклю- 
чить возможность успешного проведения подоб- 
ного типа атак. Но для того, чтобы использовать 
цифровые сертификаты, в сети обязательно дол- 
жен присутствовать сервер цифровых сертифика- 
тов (Certification Authority). 


Операционная система Cisco 10$, под управлени- 
ем которой работают все маршрутизаторы Cisco, 
содержит встроенный сервер цифровых сертифи- 
катов, предназначенный для использования сов- 
местно с технологиями IPSec VPN и SSL VPN. 

> Remote Access VPN. Представь себе следую- 
щую ситуацию. Тебе нужно обеспечить удаленный 
доступ к корпоративной сети нескольким десяткам 
сотрудников. Ты можешь использовать для этого 
технологию шифрованных VPN. Но чем больше 
сотрудников будет пользоваться удаленным досту- 
пом, тем больше компьютеров со всеми детальны- 
ми политиками безопасности нужно будет настро- 
ить. Как же избежать головной боли с настройкой 
и поддержкой столь большого числа клиентских 
устройств? А если не все сотрудники используют 
ноутбуки? И кто-то из надомных сотрудников захо- 
чет получать доступ со своего домашнего компью- 
тера, который он настраивает сам. Сможет ли он 
так же аккуратно и правильно настроить свой 
компьютер для удаленного доступа к корпоратив- 
ной сети, как это сделает системный администра- 
тор? Ответом на эти вопросы является использова- 
ние технологии Cisco Easy VPN. Ее основное пре- 
имущество — использование «глупых» клиентов, 
конфигурирование которых сведено к минимуму. 

Когда пользователю уже выдан цифровой 
сертификат, для создания \РМ-соединения 
в Cisco Easy VPN Client достаточно настроить 1Р-ад- 
рес маршрутизатора компании, подключенного 
к интернету. Никаких настроек, связанных с ис- 
пользованием алгоритмов шифрования, аутенти- 
фикации, хеширования для обеспечения целост- 
ности, распространения ключей шифрования для 
протоколов второй фазы и т.п., производить не нуж- 
но. Причем для установления \УРМ-соединения 
клиентским устройствам совсем не обязательно 
иметь публичные IP-anpeca. За счет передачи IPSec- 
трафика поверх протокола ТСР или UDP пользо- 
ватели могут находиться за устройствами, осуще- 
ствляющими трансляцию адресов с использовани- 
ем технологий МАТ/РАТ. 

При выдаче сертификата пользователю, ему 
автоматически передается корневой сертификат 
сервера цифровых сертификатов, содержащий 
только публичный ключ. Он будет использоваться 
при подключении перед аутентификацией, для 
проверки подлинности сервера, к которому произ- 
водится подключение, и исключения атаки МПМ. 

Итак, есть задача — в короткие сроки раз- 
вернуть для сотрудников компании защищенную 
по последнему слову техники сеть удаленного дос- 
тупа. При этом нужно постараться избежать ис- 
пользования дополнительных компонентов, ус- 
ложняющих и удорожающих решение. 

Для этого возьмем маршрутизатор Cisco 
857W. Помимо всех функций маршрутизации 
и обеспечения безопасности у этого устройства 
есть еще и встроенная беспроводная точка досту- 
na и ВАО 5$-сервер. Наличие RADIUS-cepsepa 
позволяет защитить небольшую сеть на несколько 


точек доступа в соответствии с последними реко- 
мендациями WiFi-cbopyma по защите корпоратив- 
ных беспроводных сетей. 

> синхронизация времени по протоколу NTP. 
Для нормальной работы инфраструктуры РК! очень 
важно, чтобы на всех взаимодействующих устрой- 
ствах было установлено точное время и дата. В 
цифровом сертификате формата х.509 присутству- 
ют поля с явным указанием его срока действия. В 
случае сильного расхождения времени на двух уст- 
ройствах при проведении процедуры аутентифика- 
ции одно из них решит, что срок действия сертифи- 
ката другого устройства уже истек или еще не нас- 
тупил. При этом сертификат считается недействи- 
тельным, и успешное завершение процедуры ау- 
тентификации становится невозможным. 

На любых устройствах, работающих под уп- 
равлением ОС Cisco IOS, точное время можно ус- 
танавливать при помощи протокола NTP (Network 
Time Protocol). Рекомендуется использовать МТР- 
серверы, имеющие наивысший Stratum1. Это оз- 
начает, что МТР-сервер напрямую подключен к ис- 
точнику точного времени, такому как атомные ча- 
сы или СР$-приемник. В свою очередь, Stratum2 
получает точное время от Stratum1 ит.д. Если у те- 
бя нет подконтрольного МТР-сервера, рекоменду- 
ется настроить для синхронизации сразу несколь- 
ко внешних серверов. На любом МТР-сервере мо- 
жет произойти сбой, в результате которого он нач- 
нет распространять значительно отличающееся от 
реального время. Если на маршрутизаторе наст- 
роено несколько МТР-серверов, алгоритм тут же 
определит неожиданно большую разницу между 
получаемыми значениями и не будет использо- 
вать вышедший из строя сервер. 


-» сервер сертификатов Cisco IOS. Сервер cep- 
тификатов Cisco IOS Certificate Server внедрен в 
программное обеспечение Cisco IOS и дает маршру- 
тизатору возможность действовать в сети в качестве 
центра сертификации (выпускать и отзывать цифро- 
вые сертификаты). Традиционно, генерирование 
криптографической информации и управление ею 
— непростая задача, по мере роста количества VPN. 
Сервер сертификатов Cisco IOS решает эти пробле- 
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Цифровой сертификат для УРМ 


мы при помощи масштабируемого и несложного в 
управлении центра сертификации, который встроен 
в ту же аппаратуру поддержки IPSec VPN. Програм- 
мное обеспечение Cisco IOS также поддерживает 
встроенные клиентские функции PKI, которые взаи- 
модействуют с сервером сертификатов и с центрами 
сертификатов сторонних производителей. 


возможности РК|!-клиента: 

— ПОДДЕРЖКА ЛОКАЛЬНЫХ СПИСКОВ ACL 
ДЛЯ ПРИНЯТИЯ ИЛИ ОТКЛОНЕНИЯ 
СЕРТИФИКАТОВ НА ОСНОВАНИИ ПОЛЕЙ 
СЕРТИФИКАЦИИ; 


“ ИНТЕГРАЦИЯ С AAA ДЛЯ АВТОРИЗАЦИИ 
СЕРТИФИКАТОВ НА БАЗЕ ИМЕНИ 
ПОЛЬЗОВАТЕЛЯ И ДРУГИХ АТРИБУТОВ; 


— ПОДДЕРЖКА ОНЛАЙНОВОГО 
ПРОТОКОЛА СТАТУСА СЕРТИФИКАТА 
(ONLINE CERTIFICATE STATUS 
PROTOCOL, OCSP); 


—` ПОДДЕРЖКА СПИСКОВ ОТЗЫВА 
СЕРТИФИКАТОВ И АВТОМАТИЧЕСКОГО 
ПЕРЕИЗДАНИЯ. 


> — настройка сервера цифровых сертификатов 
на маршрутизаторе. Встроенный в Cisco Ю$-сер- 
вер цифровых сертификатов имеет богатые воз- 
можности по настройке. Приведем минимально 
необходимое количество команд для создания ра- 
ботоспособной конфигурации: 


После этого будет сгенерирована ключевая пара 
для корневого сертификата сервера. При помощи 
ее частного ключа в дальнейшем будут подписы- 
ваться все выдаваемые сервером сертификаты. 
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Цифровой сертификат для VPN 


Команда grant auto позволяет автоматически вы- 
давать сертификаты на запросы пользователей, 
что значительно упрощает процедуру выдачи сер- 
тификатов большому числу клиентов. Если канал 
между клиентом и сервером цифровых сертифи- 
катов во время выписки защищен, то сохраняется 
должный уровень безопасности. Например, выда- 
чу сертификатов онлайн можно разрешить только 
пользователям внутри корпоративной сети. 

+> технология Cisco Easy VPN. Технология 
Cisco Easy VPN упрощает администрирование и yn- 
равление сетями VPN, которые связывают различ- 
ные узлы сети между собой, за счет активного 
продвижения новых политик безопасности из го- 
ловного узла в сети на удаленные площадки. Для 
простоты конфигурации и высокой масштабируе- 
мости в решении Еазу УРМ применяется техноло- 
TMA «проталкивания политики» (policy-push), но 
при этом сохраняется широкий спектр настроек 
и контроль над соблюдением политики. 

Сервер Easy VPN, сконфигурированный в цент- 
ральном офисе компании, передает политики безо- 
пасности на удаленные устройства VPN, обеспечи- 
вая реализацию на таких соединениях действующих 
политик еще до установки соединения. 
> Cisco Easy VPN Client. Программное обеспе- 
чение Cisco VPN Client предназначено для удален- 
ного подключения к корпоративной сети с по- 
мощью \/Р№-туннеля. Cisco VPN Client не требует 
почти никакой настройки со стороны пользовате- 
ля. Все параметры соединения и политики безо- 
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пасности передаются клиенту во время подключе- 
ния к шлюзу доступа. Cisco VPN Client бесплатно 
доступен всем пользователям продуктов Cisco со 
встроенной функциональностью Easy \/Р№М-серве- 
ра. К таким продуктам относятся маршрутизаторы 
с интеграцией сервисов, \/РМ-концентраторы, 
межсетевые экраны Cisco PIX и многофункцио- 
нальные защитные устройства Cisco ASA. 
>  снастройка Cisco Easy VPN Client. Для наст- 
ройки VPN-KnuveHTa достаточно создать соедине- 
ние, указав IP-anpec сервера. Нужно использовать 
IP-agpec подключенного к интернету интерфейса 
маршрутизатора. На этот интерфейс был назна- 
чен crypto тар при настройке Easy \/Р№-сервера. 
Чтобы начать процедуру получения цифро- 
вого сертификата в меню \УРМ-клиента, нужно 
выбрать Certificates -&gt; Enroll. Для выдачи серти- 
фиката пользователю должна существовать !Р-дос- 
тижимость между компьютером и интерфейсом 
локальной сети маршрутизатора: 


Обязательно нужно указать домен, даже если он 
не настроен на маршрутизаторе. Без указания до- 
мена выдача сертификата невозможна! 


При выдаче сертификата пользователю в \/Р№М-кли- 
енте также будет передан корневой сертификат 
СА, содержащий публичный ключ сервера цифро- 
вых сертификатов. С его помощью при установле- 
нии соединения будет проверяться подлинность 
сертификата Easy УР№-сервера. За счет этого ста- 
новится возможным исключение атаки типа МПМ. 
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Список цифровых сертификатов и срок их действия 


Если обеспечить доступ клиента no IP к серверу 
цифровых сертификатов невозможно, выписку 
сертификатов пользователям можно осуществлять 
в ручном режиме. При этом сгенерированный кли- 
ентом запрос на получение цифрового сертифика- 
та в виде двоичной последовательности вводится 
в командную строку сервера цифровых сертифика- 
тов. Выданный пользователю сертификат в том же 
виде импортируется в Cisco VPN Client. 


преимущества 
easy vpn 


1) Easy VPN Server и Easy MST Client поддер- 
живается на маршрутизаторах с интеграци- 
ей сервисов, \/РМ-концентраторах, межсетевых 
экранах Cisco PIX и многофункциональных защит- 
ных устройствах Cisco ASA. 
о Клиентское программное обеспечение Cisco 
VPN Client можно инсталлировать без до- 
полнительных затрат на компьютерах РС, Мас 
и в системах UNIX, для удаленного доступа к VPN- 
маршрутизатору. Поскольку одна и та же техноло- 
гия (Еазу УРМ) используется на аппаратуре у кли- 
ента (СРЕ) и в программном обеспечении, общая 
стоимость владения снижается за счет упрощения 
и унификации в обслуживании и мониторинге 
сервисов ААА. 
о В Easy VPN предусмотрены опции локаль- 
ной (на базе маршрутизаторов) и централи- 
зованной аутентификации RADIUS. Аутентифика- 
цию на базе стандарта 802.1х также можно ис- 
пользовать для аутентификации хостов в каждом 
местоположении СРЕ. 
о Easy VPN предлагает цифровые сертифика- 
ты, повышая уровень безопасности по срав- 
нению с preshared keys. 
Балансировка нагрузки для нескольких на- 
ходящихся на центральной площадке кон- 
центраторов Easy VPN автоматически распреде- 
ляет нагрузку между несколькими серверами 
Easy VPN. Принудительная передача политик 
с резервных концентраторов на СРЕ позволяет 
компаниям масштабировать решение без пере- 
конфигурации СРЕ. 
о Easy VPN предлагает полнофункциональ- 
ную интеграцию, включая динамическое 
назначение политики QOS, межсетевые экраны 
и IPS, раздельное туннелирование и Cisco Service 
Assurance Agent и NetFlow для мониторинга. 
7) Cisco SDM дает возможность на базе мас- 
тер-программы быстро развернуть Еазу 
VPN совместно с сервисами ААА и межсетевым 
экраном, а также возможность графического мо- 
ниторинга удаленных клиентов Easy VPN в режи- 
ме реального времени © 


ЖУРНАЛ ANA МУЖЧИН, 
ЖИВУШИХ В МИРЕ ТЕХНОЛОГИЙ 
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И если стоимость выбранного коммутатора изна- 
чально невелика, то добавление в его комплекта- 
цию системы защиты полностью отбрасывает це- 
ну, как главный конкурентный показатель, кото- 
рым часто оперируют производители коммута- 
ционного оборудования. Не говоря уже о том, что 
внедрить систему защиты в коммутируемую сеть 
не так-то и просто. Но зато если твоя сеть постро- 
ена на оборудовании Cisco, ситуация меняется: в 
различные модели коммутаторов Cisco Catalyst 
уже встроено большое количество функций защи- 
ты, о части из которых мы и поговорим. Причем не 
будем касаться базовых механизмов (VLAN, бан- 
неры, пароли и учетные записи), а перейдем сразу 
к ключевым особенностям. 

>  oport security. Первое, что мы хотим реализо- 
вать в коммутируемой сети с точки зрения безо- 
пасности, — это предотвращение подключения чу- 
жих устройств. Сделать это можно достаточно лег- 
ко, и многие производители предлагают такую 
возможность (в Cisco это Рой Security). 
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реализация блокировки подключения чужих устро- 
йств (третья команда блокирует порт на 600 минут): 
security 2/1 enable 

security 2/1 enable 00-90-2b- 


set port 
set port 
03-34-08 
set port security 2/1 shutdown 600 
Коммутаторы Cisco могут работать под управле- 
нием двух различных операционных систем — Са- 
tOS и 10$. Поэтому примеры конфигурации в 
дальнейшем будем приводить для разных ОС. 
Чем плох описанный выше подход? Он 
слишком сложен в администрировании и абсолют- 
но не масштабируем. Представь, что к тебе прие- 
хал представитель компании-партнера или клиент 
со своим лэптопом. Ты хочешь подключить его к 
твоей сети. Жесткая привязка портов коммутато- 


ра к МАС-адресам сделает эту задачу трудновы- 
полнимой. Тем более что подделка МАС-адреса 
сегодня не является сложной задачей. Поэтому 
рекомендуется пойти немного другим путем. С по- 
мощью механизма 802.1х блокировать подключе- 
ние несанкционированных устройств, а функцию 
Port Security использовать для динамической авто- 
ризации на коммутаторе. 

Иными словами, вместо указания самих 
МАС-адресов, ты указываешь количество адре- 
сов, которые могут работать на данном порту. 
Порт коммутатора в динамическом режиме запо- 
минает первые адреса, которые к нему «обрати- 
лись», и в течение заданного администратором 
времени разрешает трафик только с них. При 
этом, если на порт попал трафик с неразрешенных 
адресов, возможно применение двух режимов — 


shutdown и restricted. В первом случае блокирует- 
ся работа самого порта, во втором — блокируется 
прием трафика с неразрешенных адресов. 


реализация механизма Port Security для CatOS: 


В примере авторизуем только 3 МАС-адреса на 
порту, и, при превышении их числа, порт не блоки- 
руется. Время «привязки» адресов к порту (время 
устаревания информации об авторизованных ад- 
ресах) составляет 2 минуты. Если ты используешь 
|Р-телефонию, TO на каждом порту нужно разре- 
шать 3 адреса (рабочая станция, 1Р-телефон и ми- 
ни-коммутатор в 1Р-телефоне). При подключении 
только рабочей станции достаточно указать мак- 
симальное количество адресов на порту, равное 
единице. 

Механизм Рой Зесийу помимо блокирова- 
НИЯ «чужих» адресов может быть использован и 
для предотвращения атак, например, переполне- 
ния таблицы коммутации (МАС Flood) или истоще- 
ния DHCP (DHCP Starvation). 
dhcp snooping. Еще одна распространенная 
атака, которая встречается в локальных сетях, — 
перехват трафика путем его перенаправления на 
себя. Делается это достаточно просто. Злоумы- 
шленник, выдавая себя за ОНСР-сервер, подменя- 
ет адреса отдельных узлов в сети (например, 
маршрутизатора), тем самым меняя маршруты ин- 
формационных потоков. Другим применением 


$ 


этой атаки может служить атака «отказ в обслужи- 
вании», когда на определенные адреса трафик 
может вообще не доходить. 

И, наконец, последний пример атак с приме- 
нением DHCP — истощение адресов (DHCP Starva- 
tion). Генерируя большой поток ложных служебных 
сообщений о выделении адресов, злоумышленник 
может «выбрать» весь пул адресов, и для автори- 
зованных пользователей их просто не останется, 
что приведет к невозможности их работы. Защи- 
титься от этого позволит встроенная функция ком- 
мутаторов Cisco Catalyst — DHCP Snooping. 


настройка DHCP Snooping для CatOs: 


+> dynamic arp inspection. С протоколом ARP 
также немало проблем. И также, как и в случае с 
ОНСР, некорректная настройка данного протокола 
позволяет злоумышленникам осуществлять пе- 
рехват данных, «отказывать в обслуживании» и 
вносить хаос в работу сети. Для защиты от АВР- 
атак в коммутаторах С!5со существует специаль- 
ный механизм — Dynamic ARP Inspection (DAI) . 


настройка DAI для CatOS: 


Первая команда связывает определенную VLAN с 
механизмом DAI, вторая — определяет порты, ко- 
торым «доверяем», а третья — ограничивает по- 
лосу пропускания для защиты от DoS-atak. 


настройка DAI для IOS: 


> ip source guard. Злоумышленник может под- 
менять не только MAC-agpeca, реализуя различные 
АВР-атаки, но и организовывать !Р-спуфинг. На- 
пример, до 95% DoS-atak осуществляется именно с 
подменой !Р-адреса, поэтому защита от этой угро- 
зы является достаточно актуальной. Но если на пе- 
риметре это сделать достаточно просто, и любой 
маршрутизатор и межсетевой экран делает это 
«влет», то в локальной сети это достаточно серьез- 
ная проблема. В коммутаторах Cisco Catalyst суще- 
ствует еще один механизм — IP Source Guard. 


настройка IP Source Guard для CatOS: 


настройка IP Source Guard для IOS (Cisco Catalyst 4500): 


настройка IP Source Guard для IOS (Cisco Catalyst 3750): 


>  bpdu guard и root guard. Другой часто упоми- 
наемой проблемой для локальных сетей является 
набор уязвимостей протокола Spanning Tree 
(STP), которые были обнаружены российскими 
экспертами в области безопасности — Олегом Ар- 
темьевым и Владиславом Мяснянкиным. С тех пор 
много воды утекло, но и по сей день встречается 
оборудование известных сетевых вендоров, кото- 
рое подвержено данным уязвимостям, что приво- 
дит к хаосу в сети и ее отказу в обслуживании. 
В коммутаторах Cisco существует 2 механизма: 
BPDU Guard и Root Guard. 


активация BPDU Guard и Root Guard для CatOS: 


активация BPDU Guard и Root Guard для IOS: 


Осталось множество интересных встроенных 
функций catalyst, обеспечивающих защиту локаль- 
ной сети: использование списков контроля доступа 
(access control list, acl), протокола 802.1Х и техноло- 
гии network admission control, broadcats supression 
(storm control) и qos scavenger class, cisco express 
forwarding и cpp limiting и т.д. Все вместе, эти Mexa- 
низмы позволяют использовать коммутаторы CiSCO 
catalyst не только по своему прямому назначению, 
но и возложить на них базовые функции защиты 
локальной сети, не тратясь на приобретение доро- 
гостоящего навесного оборудования © 
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ЧЕМ ВСЕ-ТАКИ ЗАНИМАЕТСЯ 
АДМИНИСТРАТОР? К ПРИМЕРУ, 
НАСТРОЙКА, ОПТИМИЗАЦИЯ 

И БЕЗОПАСНОСТЬ — ЕГО КРУГ 
ПРОБЛЕМ? 


ЗАРАЗА: Терминология — вещь всегда непро- 
стая. Начнем с того, что профессии «администра- 
тор» нет. Есть, например, «системный админи- 
стратор», а есть «администратор безопасности». 
Это две разные должности. Понятно, что в неболь- 
шой конторке человек, которого называют систем- 
ным администратором, может реально выполнять 
функции «специалиста поддержки пользовате- 
лей», «инженера-электронщика», «администрато- 
ра баз данных», а собственно администрировани- 
ем системы и не заниматься вовсе. В конторе по- 
крупней роли, наверняка, расписаны более четко. 
Кроме того, может встретиться человек, у которо- 
го на визитке написано «системный инженер» или 
«системный архитектор». Это человек, отвечаю- 
щий за дальнейшее развитие или построение вы- 
числительной системы. Системный администра- 
тор такими вещами заниматься не обязан. 

То есть сформулировать определение понятия 
«системный администратор» можно следующим 
образом. Это человек, обеспечивающий решение 
повседневных задач: создание/настройка учетных 
записей; установка и настройка приложений со- 
гласно разработанным инструкциям; иногда — раз- 
вертывание системы, опять же по инструкциям; 
наблюдение за системой (журналы системы, про- 
изводительность); решение проблем. 


ТОГДА КАКОЕ УСЛОВНОЕ 
ДЕЛЕНИЕ МОЖНО СЧИТАТЬ 
ОПТИМАЛЬНЫМ? 


ЗАРАЗА: Если брать технических специалистов, 
то можно говорить о классификации «по уровню»: 
оператор; администратор; инженер. Администра- 
тор — это технический специалист с достаточно 
высокими навыками и опытом работы. Но нельзя 
забывать о специализации: «системный админи- 
стратор», «администратор безопасности», «адми- 
нистратор баз данных». Хотя, чем выше уровень 
человека, чем более высокую должность он зани- 
мает — тем шире его специализация. Гради Буч 
называет таких людей «широкими коротышками», 
в отличие от «длинных тонких» специалистов. 
То есть начинать надо с какой-то одной специали- 
зации, стать профессионалом в ней, а потом уже 
расти вширь, развивая квалификацию в соседних 


областях, пусть даже за счет некоторого снижения 
профессионального уровня в основной области. 

Вообще, компьютерные профессии можно 
разбить условно на четыре направления: обслужи- 
вание оборудования, поддержка пользователей, 
системное, сетевое и прочее администрирование 
и проектирование, разработка ПО. 

Каждым из направлений занимаются свои 
специалисты. Хотя системный администратор дол- 
жен владеть минимальными навыками разработки 
и поддержки пользователей, разработчик — мини- 
мальными навыками системного администрирова- 
ния и обслуживания оборудования и т.д. 


МЕЧТА КАЖДОГО 
АДМИНИСТРАТОРА — 
ПОЛНАЯ АВТОМАТИЗАЦИЯ. 
ВОЗМОЖНО ЛИ ТАКОЕ? 


ЗАРАЗА: В любой момент времени! Вот только 
в следующий момент возникнет задача, которая 
еще не автоматизирована... Например, решение 
очередной задачи автоматизации. Собственно это 
и определяет уровень администратора. Специалист 
в небольшой компании все делает руками. Специа- 
лист в компании побольше решает задачи автома- 
тизации. Специалист в крупной фирме решает за- 
дачи автоматизации решения задач автоматиза- 
ции... И так далее. Причем для всех находится рабо- 
та, так как компьютерная техника и программное 
обеспечение довольно быстро устаревают. 


КАК ОПРЕДЕЛИТЬ ЗОЛОТУЮ 
СЕРЕДИНУ СТРАДАНИЙ 
ПОЛЬЗОВАТЕЛЕЙ, ЧТОБЫ 
ОДНОВРЕМЕННО СЭКОНОМИТЬ 
НА ЖЕЛЕЗЕ И ГЛОБАЛЬНО 

НЕ ПОТЕРЯТЬ В КАЧЕСТВЕ? 


ЗАРАЗА: Сложный вопрос. Экономия — это пра- 
вильно. Но экономить надо с умом. Любые затра- 
ты, начиная с перехода на новое железо и софт 
и заканчивая зарплатой тех же системных админи- 
страторов, должны быть обоснованы. На западе, 
да иу нас, в крупных организациях, подход гораз- 
до экономичнее. Например, до сих пор использу- 
ется MS-DOS с соответствующей техникой. 

Другой вопрос, что пытаться «соптимизиро- 
вать» явно слабое железо — это глупо. Через нес- 
колько месяцев потребности возрастут, и все рав- 
но придется вкладывать деньги. Потраченное ад- 
министратором время, не говоря о возможных поте- 
рях времени пользователей — это впустую потра- 
ченные ресурсы. 

Задачи перехода на новое железо или софт 
вообще решает не администратор, а, например, 
начальник отдела АСУ. Подход должен быть про- 
стым. Есть стоимость затрат на новую технику. 
Есть срок использования этой техники (например, 
5-6 лет). Есть стандартные бизнес-операции, на- 
пример, выписывание счета клиенту. Можно рас- 


Большинство знают 
Заразу как автора 
ресурса по 
безопасности 
(www.security.nnov.ru), 
но в реальной жизни 
круг его интересов 

и профессиональной 
деятельности 
значительно шире. 
Основная профессия 
Заразы — руководство 
службой поддержки 
пользователей довольно 
крупного ISP. Такая 
работа требует знаний 
во многих областях: 
железа, системного 
администрирования, 
информационной 
безопасности, 
психологии, педагогики 
и менеджмента. 

А в качестве хобби — 
разработка 
программного 
обеспечения, 

в частности — проект 
Зргоху (www.security. 
nnov.ru/soft/3proxy/). 
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считать, насколько меньше будет тратиться вре- 
мени на типовые операции, подсчитать сэконо- 
мленное время и деньги (зарплата работника, сто- 
имость поддержки рабочего места и т.п.). Когда 
затраты на технику окупятся прибылью от ее вне- 
дрения — тогда и нужно обновляться. 


ЧТО КАСАЕТСЯ СРЕДСТВ... 
LINUX ИЛИ WINDOWS? 
КОГДА И ЧТО ЛУЧШЕ? 


ЗАРАЗА: Linux или Windows — опять же решает- 
ся по деньгам. При этом учитывается не столько 
стоимость системы, поскольку она составит лишь 
небольшой процент затрат даже в случае самых 
дорогих Windows’os, сколько софт, который будет 
установлен и система, которой он требует. Софт, 
как правило, выбирается исходя из удобства поль- 
зователей. Нужно, чтобы он максимально эконо- 
мил им время. Время — деньги. Нужно, чтобы кли- 
ентский софт легко устанавливался и разворачи- 
вался, так как опять: время — деньги. Нужно, что- 
бы требовалось минимум обучения, так как это — 
тоже деньги. И чтобы не сложно было найти адми- 
нистраторов, их обучить и заменить, если они пе- 
ребегут куда-то на большую зарплату. 

А уж каждый администратор для себя дол- 
жен выбрать, что он любит и с чем будет работать. 
При этом давно замечено, что ту или иную систе- 
му ругают только «недообученные» администра- 
торы. Человек, знающий Windows досконально, 
никогда не будет кричать «мастдай!». Но и отвора- 
чиваться от возможности сэкономить на бесплат- 
ных системах тоже не стоит, так как любая воз- 
можность должна быть просчитана, а выбор — 
экономически обоснован. Windows гораздо чаще 
используется в корпоративных сетях, но иногда 
причиной становится банальное нежелание проек- 
тировщика «рисковать» на бесплатном решении. 
Если в конечном итоге выяснится, что Мпих ока- 
зался менее эффективным, то можно оказаться 
за бортом. Если наоборот — то вряд ли. 


ЧТО ДОЛЖЕН ЗНАТЬ И УМЕТЬ 
АДМИНИСТРАТОР БЕЗОПАСНОСТИ? 
КАК ПРОТИВОСТОЯТЬ ХАКЕРАМ, 
КОТОРЫЕ ПОРОЙ ЗНАЮТ БОЛЬШЕ, 
И КОТОРЫХ — СОТНИ И ТЫСЯЧИ? 


ЗАРАЗА: Ну, только не что угодно, а кого угодно — 
в смысле, любую организацию. На самом деле, 
администратор безопасности — человек опять 
же небольшой. Он следит за работой средств бе- 
зопасности и анализирует журналы, донастраи- 
вает/доводит какие-нибудь параметры. Ему нуж- 
но знать инструментарий. Но на деле это — не за- 
щита. Защита разрабатывается гораздо раньше. 
И защищаются не от хакеров. Защищаются от 
угроз. Администратор баз данных, забывший до- 
писать WHERE в ЗО! -запросе, может наломать 
дров побольше любого хакера. 
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Поэтому прежде всего думают о том, что и где 
защищать. Потом о рисках, то есть о том нехоро- 
шем, что может грозить защищаемой информа- 
ции. И только потом о тех, кто эти риски может ре- 
ализовать, и насколько это вероятно. Дальше вы- 
бираются адекватные и оптимальные методы за- 
щиты. И только когда все выбрано, и сформирова- 
на политика безопасности — все это попадает к ад- 
министратору безопасности, который следит за ре- 
ализацией и соблюдением задуманного. 


КАКИЕ МЕТОДЫ ЗАЩИТЫ 
НАИБОЛЕЕ АДЕКВАТНЫЕ 
И ОПТИМАЛЬНЫЕ? 


ЗАРАЗА: Смотря, от какого риска. Например, у нас 
есть внутренняя база данных. Если мы потеряем 
эту базу данных, то наши убытки составят 
$1000000, так как мы не сможем дальше функци- 
онировать. Если она попадет конкурентам, то на- 
ши убытки составят $50000. Час простоя без до- 
ступа к информации обходится нам в $1000. 

Проанализируем, как информация может по- 
пасть к конкурентам: 


1 ФИЗИЧЕСКИЙ ДОСТУП 
(К КОМПЬЮТЕРУ С ИНФОРМАЦИЕЙ, 
АРХИВАМ НА ЛЕНТАХ И Т.Д.) 


2 ДОСТУП К КАНАЛАМ СВЯЗИ. 


3 ДОСТУП К ДАННЫМ ЧЕРЕЗ 
АВТОМАТИЗИРОВАННУЮ СИСТЕМУ. 


Кто может получить физический доступ: 


1 СИСТЕМНЫЕ АДМИНИСТРАТОРЫ. 


2 СОТРУДНИКИ (ТУТ ВСЕГДА 
АНАЛИЗИРУЮТСЯ ДВЕ КАТЕГОРИИ — 
И СОТРУДНИКИ, И БЫВШИЕ 
СОТРУДНИКИ). 


з ОБСЛУЖИВАЮЩИЙ ПЕРСОНАЛ. 
4 ПОСЕТИТЕЛИ. 
5 ПОСТОРОННИЕ. 


Какие будут адекватные меры защиты, если мак- 
симальный ущерб может составить $50000? Поса- 
дить вахтера на входе и проверять пропуска — на- 
верное, неплохо. Хороший замок в серверной — 
да. Сейф для хранения бэкапов. А ввод системы 
разграничения доступа, камер видеонаблюдения 
и систем самоуничтожения данных — будет явным 
перебором. 

При рассмотрении рисков потери информа- 
ции вероятность, что уволенный со скандалом си- 
садмин оставит «бомбу», которая потрет всю ин- 
формацию — довольно высока. Потери при этом 
могут быть значительные, особенно если он же сле- 
дил и за бэкапом. Значит, можно потратить доволь- 
но много денег, чтобы убедиться в том, что он это- 


го не сделает. Например, дать ему хорошие отсту- 
пные и уволить без скандала. 

Идея в том, что рассчитывается вероятность 
реализации угрозы и риски (вероятные финансо- 
вые потери). Определяются средства минимиза- 
ции рисков, например — защитный софт или же- 
лезо. По каждому из таких решений рассчитыва- 
ется, насколько и какие риски они снижают, и ка- 
кова стоимость решения (с учетом стоимости вне- 
дрения и поддержки на планируемый период). 
А дальше решается очень сложная математиче- 
ская задача расчета средств, которые нужно вне- 
дрить, чтобы риски минимизировать. 

Конечно, все это в теории. На практике боль- 
шая часть оценок производится на глаз, главное — 
не упустить в защите что-то важное и не вбухать 
деньги в дорогую, но малоэффективную систему. 


ПОЧЕМУ ЖЕ ТОГДА ДЕФЕЙСЯТ 
ТЕХ, КТО РЕАЛЬНО ОЦЕНИВАЕТ 
СВОИ РИСКИ, ТРАТИТ КРУПНЫЕ 
СУММЫ НА БЕЗОПАСНОСТЬ 

И ИМЕЕТ В ШТАТЕ НЕ ОДНОГО 
АДМИНИСТРАТОРА? 


ЗАРАЗА: Ну, во-первых, дефейс — это не самая 
большая угроза. Что такое дефейс? Это модифи- 
кация публично доступной информации. Если ос- 
новной бизнес компании не связан с веб-серве- 
ром, то прямые финансовые потери от этого не- 
большие. Потеря репутации — вещь довольно 
скользкая... А некоторая реклама за счет отзывов 
в прессе, пусть даже и негативных, обеспечена. 

При этом веб-приложения — это приложе- 
ния, разрабатываемые «на заказ» в штучном ис- 
полнении. Естественно, что они хуже отлажены 
и проверены, чем приложения, которые использу- 
ются массово. Обеспечить безопасность таких 
приложений можно лишь проводя аудит исходно- 
го кода, что очень дорого. Поэтому выходит, что 
при небольших рисках стоимость защиты получа- 
ется большой, и защитой веб-серверов часто пре- 
небрегают. 

А во-вторых, сломать можно кого угодно. 
Любая защита снижает риски, но ни одна не устра- 
няет их! Если есть один шанс из миллиона, и если 
есть миллион людей, которые попробуют, — то ве- 
роятность, что кому-то повезет, очень высока. 


ЗАРАЗА: Нет, вероятность равна единице не бу- 
дет и в этом случае. Это уже следует чисто из ма- 
тематики. Вероятность, что систему взломают, 
равна: (1 — (1-р)^п), где р — вероятность взлома, 
а п — число попыток. Но порой теория вероятно- 
сти к реальной жизни отношения не имеет. Напри- 
мер, что такое «вероятность взлома», не скажет 
никто. Система либо взламывается, либо нет — 
без всяких вероятностей © 


А ЕСЛИ ЭТИ ЛЮДИ ИЗ КИТАЯ, 
ТО ВЕРОЯТНОСТЬ РАВНА ЕДИНИЦЕ? 
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СИСТЕМНЫЙ СКРИПТИНГ 


ГРАМОТНОЕ ОБНОВЛЕНИЕ 
ПОЧЕМУ BSD СЛОЖНЕЕ АТАКОВАТЬ, ЧЕМ LINUX 


ЗАПИСЬ ДИСКОВ В BSD 


МЕХАНИЗМ SYSCTL 
ОПТИМИЗАЦИЯ ПОД ДЕСКТОП _ 
ВОССТАНОВЛЕНИЕ УДАЛЕННЫХ ФАИЛОВ 


А ТАКЖЕ ОТВЕТИМ 


НА КУЧУ ТВОИХ 
ВОПРОСОВ ПО BSD 
В БОЛЬШОМ FAQ'E! 


СКОРО В СПЕЦЕ: 


WINDOWS VISTA 
ВЗГЛЯД ИЗНУТРИ. ПОДРОБНЫЙ АНАЛИЗ НОВОЙ OC OT MICROSOFT. 


НОВЕЙШИЕ ТЕХНОЛОГИИ. УДОБСТВО, БЫСТРОТА РАБОТЫ. 
SPYWARE 

ТРОЯНЫ. ADWARE. БОТНЕТЫ. 

СПАМ. ВИРУСЫ. 
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Если заинтересовался, можешь заказать любую книгу 
из обзора (по разумным ценам), не отрывая пятой 
точки от дивана или стула, в букинистическом 
интернет-магазине «0$-книга» (Www.osbook.ru). 
Книги для обзора мы берем именно там 


MEDIUM 


Технологии 
клонирования 
компьютеров 


СПб.: БХВ-Петербург, 2006 / 
Медведев Ю.Г. / 304 страницы 
Разумная цена: 135 рублей 


Администрирование 
сети на примерах 


СПб.: БХВ-Петербург, 2005 / 
Поляк-Брагинский А.В. / 
320 страниц 

Разумная цена: 123 рубля 


Под клонированием компью- 
теров понимается клонирова- 
ние жестких дисков — про- 
цесс снятия точной копии 
жесткого диска, и использо- 
вание этой копии для постро- 
ения другой идентичной 
системы, включая операцион- 
ную систему, различные 
настройки и программное 
обеспечение. Книга посвяще- 
на технологиям клонирова- 
ния, позволяющим устанавли- 
вать ОС и ПО на сотни ком- 
пьютеров достаточно быстро 
и без особых проблем. Рас- 
смотрены программы 
Symantec Ghost 8.x, Norton 
Ghost 2003 и 9. Плюс практи- 
ческие рекомендации по во- 
просам массового клонирова- 
ния компьютеров. 

Обладая этой информацией, 
ты сэкономишь свое время, 
средства и силы. 


С ростом числа сетей увели- 
чивается и армия сетевых ад- 
министраторов. И многие из 
них сталкиваются либо с тем, 
что большинство справочных 
материалов дают отрывочную 
информацию о решении про- 
блем, либо с тем, что на тео- 
ретическом уровне они досту- 
пны лишь специалисту, кото- 
рый итак уже разобрался 

в данной проблеме. А время 
на поиск решения иногда 
весьма ограниченно. В этой 
книге ты почти не встретишь 
теоретических сведений: 
здесь масса именно практи- 
ческих примеров реализации 
различных задач админи- 
стратора локальной сети 

(в основном по работе с сер- 
вером Windows 2000 или Win- 
dows Server 2003). Но учти, 
что для реализации примеров 
может потребоваться знание 
сценариев на языке VBScript, 
JScript и несложных про- 
грамм на языке Visual Basic. 


Самоучитель 
системного 
администратора 


СПб.: БХВ-Петербург, 2006 / 
Кенин А.М. / 464 страницы 
Разумная цена: 172 рубля 


EASY 


/// СИСТЕМ 
ДМИНиИСТР. 


Круг обязанностей системно- 
го администратора достаточ- 
но сложно формализовать. 
Некоторые полагают, что 

он осуществляет только теку- 
щие контрольные функции, 
другие возлагают на него 
все работы по поддержанию 
и развитию информационной 
сети. Истина, как известно, 
лежит где-то посередине. 
Хороший системный админи- 
стратор «зреет» не один год: 
необходим опыт и комплекс- 
ный взгляд на систему. 
Автор книги хочет поделиться 
своим опытом и помочь сове- 
тами начинающим админи- 
страторам, объясняя основ- 
ные принципы, заложенные 

в основу различных техноло- 
гий, которыми придется упра- 
влять. То есть перед тобой — 
«наглядная почему и зачем» 
для администратора. 


MEDIUM 


Как работать 


с маршрутизаторами 


Cisco 


M.: ДМК Пресс, 2005 / 
Хабракен Д. / 320 страниц 
Разумная цена: 190 рублей 


По мере роста, любая компа- 
ния ищет способы сохранить 
пропускную способность 
своих локальных сетей. Одно 
из популярных решений этой 
проблемы — сегментация 
локальных сетей с помощью 
маршрутизаторов. Но хоро- 
ших книг об основах межсете- 
вого взаимодействия практи- 
чески нет. Либо это узкоспе- 
циализированные справочни- 
ки для опытных специалистов, 
либо теоретизированные 
данные, больше напоминаю- 
щие лекции в институте. 
Здесь же доступно и наглядно 
рассказано о межсетевом 
взаимодействии и конфигури- 
ровании маршрутизаторов 
Cisco, которые очень часто 
используются на практике. 

И если ты столкнулся 

с ними в работе, книга 

не даст потеряться. 


ISA Server 2004 


М.: Издательско-торговый 
дом «Русская Редакция», 
2006 / Шиндер Т. / 

1088 страниц 

Разумная цена: 518 рублей 


Некоторые изменения в ISA 
Server 2004 оказались 
настолько радикальными, 
что Microsoft серьезно поду- 
мывала о смене названия, 
но в итоге оставила Internet 
Security and Acceleration 
Server (ISA Server), чтобы 

не потерять пользователей 
предыдущей версии. В кни- 
ге подробнейшим образом 
описаны функциональные 
возможности брандмауэра 
ISA Server 2004, конфигура- 
ция сетей с использованием 
ISA Server 2004, типы клиен- 
тов и способы их настройки, 
установка и конфигурирова- 
ние ISA Server 2004. 
Использовать книгу можешь 
как огромный справочник, 
изучая нужные разделы, 
либо как пошаговый путево- 
дитель, если ты еще не зна- 
ком с этим брандмауэром. 


MEDIUM 


TCP/IP и DNS 

в теории 

и на практике. 
Полное руководство 


СПб.: Наука и Техника, 2006 / 
Досталек Л. / 608 страниц 
Разумная цена: 296 рублей 


Компьютеры в компьютерных 
сетях для взаимной коммуни- 
кации используют сетевые 
протоколы, в интернете — 
сетевые протоколы ТСРЛР. 

В книге показано, как работа- 
ют протоколы семейства 
TCP/IP и служба DNS, 

их функциональные особен- 
ности и характерные приме- 
ры из жизни. Разбираются 
реальные ситуации и даются 
профессиональные рекомен- 
дации по решению тех или 
иных проблем для Windows, 
Linux(Unix) и Ю$ — операци- 
онной системы CISCO. 
Отдельно рассмотрены про- 
блемы безопасности и уязви- 
мости TCP/IP и DNS © 
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АЛЕКСАНДР 
АНТИПОВ 
Руководитель проекта, 
автор/соавтор/корректор 
многочисленных 

статей ведущего 
отечественного портала 
по информационной 
безопасности 
SecurityLab.ru. 


У АДМИНИСТРАТОРА СЛОЖНЫЙ 
ГРАФИК РАБОТЫ. СБОИ И АТАКИ 
МОГУТ БЫТЬ КАК ДНЕМ, 

ТАК И НОЧЬЮ. КАК БЫТЬ? 


Й ЧТО САМОЕ ГЛАВНОЕ 
В АДМИНИСТРИРОВАНИИ? 


АНТОН 

ПАЛАГИН 

Директор по развитию 
компании «ЕуКоп». 

Его первая должность — 
как раз администратор. 


ЗАРАЗА 

Руководитель 

службы поддержки 
пользователей довольно 
крупного ISP. Хобби — 
разработка программного 
обеспечения, в частности 
проект «Зргоху» 
(www.security.nnov.ru/soft 
/3proxy/). 


КОНСТАНТИН 
ГАВРИЛЕНКО 
Консультант 

по безопасности 

и по совместительству 
директор компании 
«Архонт». 
Специализируется 

на безопасности сетевой 
инфраструктуры 


и безопасности 
беспроводной связи. 


ЗАРАЗА: Это все определяется масштабами фирмы. Крупная компания может 
себе позволить дежурного администратора, который будет на рабочем месте 
и ночью. Помельче — администратора, который будет дежурить дома с трубкой 
в пределах досягаемости... Ну а если это компания, которой не выгодно иметь 
более одного администратора, то можно и одного администратора не брать. 
А заказать услуги администрирования организации, которая этим занимается 
профессионально, и в штате которой — несколько администраторов. То есть от- 
дать администрирование на аутсорсинг. Тогда можно и отпусков не бояться... 


ЗАРАЗА: В администрировании все главное. Любая ошибка, сделанная ад- 
министратором, не важно на каком этапе — планирования или реализации — 
может обернуться большими, очень часто невосполнимыми, потерями. Поэ- 
тому очень важно, чтобы задачи, которые решает системный администратор, 
были четко сформулированы и находились в пределах его компетенции. 
Ошибки в системном администрировании чаще всего делаются руководите- 
лями. Они рассуждают так: «я ничего в этом не понимаю, поэтому я найму 
технического человека, пусть он решает все технические вопросы». В резуль- 


Tate получается, что технический специалист начинает заниматься решени- 
ем задач постановки технологического процесса, то есть совсем не техничес- 
ких. Кроме того, его действия никому не подконтрольны. Никто не может оце- 
нить качество работы. 

При правильной организации системного администрирования все дей- 

ствия администратора четко регламентированы и подотчетны. Любое дей- 
ствие в системе происходит не само по себе, а по какому-то документу. Это 
снимает большую часть ответственности с администратора и перекладывает 
ее на того, кто подписал документ. Такая «бюрократизация» процедуры сис- 
темного администрирования устраняет необдуманные действия со стороны 
администратора, значительно снижая вероятность ошибки. Постановка сис- 
темного администрирования — это как раз и есть весьма трудоемкая задача 
по превращению набора неких хаотических и плохо понятных действий в хо- 
рошо отлаженный процесс. 
АЛЕКСАНДР АНТИПОВ: Самое главное — выполнять все распоряжения 
начальства! Кто такой системный администратор? Человек подневольный, 
которого не замечают, когда все нормально работает, и на которого сыпятся 
все шишки, если что-то сломалось. Хорошо, если только сломалось, и он смог 
быстро решить возникшую проблему. Например, часто оказывается, что пос- 
ле того, как в течение месяца вдруг резко уменьшается поток писем от воз- 
можных клиентов компании, начальство узнает об установленном спам-фильт- 
ре. И тут бесполезно рассказывать про заботу о пользователях, постоянно жа- 
лующихся на увеличенное количество спама, — все равно окажешься винова- 
тым, так как твоя инициатива нанесла прямой ущерб бизнесу. 

Бывает плохой админ, хороший админ, а бывает правильный админ. 

Плохой — это тот, у которого ничего и никогда нормально не работает, а ви- 
новат в этом всегда Билл Гейтс и его глючные Винды. Хороший админ тихо 
делает всю свою работу, получает шишки от начальства и никогда не добьет- 
ся повышения зарплаты или более высокой должности. Правильный же админ 
всегда перед тем, как нажать на кнопку, напишет внутреннюю инструкцию 
по тому, как нужно нажимать на эту кнопку, напишет докладную записку на- 
чальнику с аргументами о необходимости нажатия этой кнопки (пусть началь- 
ник представляет отделу продаж твои аргументы), а только потом нажмет 
на нее. Правильный админ всегда будет на хорошем счету у начальства, ни- 
когда не будет виноват и, вполне вероятно, быстро дослужится до более вы- 
сокой должности с более высокой зарплатой. 
АНТОН ПАЛАГИН: Главное для администратора — не становиться священ- 
ной коровой, к которой несут дароносицу. К несчастью, это случается слиш- 
ком часто, и зарвавшегося администратора приходится менять, со всеми вы- 
текающими отсюда последствиями. Так что получается, что самое главное 
умение администратора — это умение взаимодействовать с людьми. Неда- 
ром на должность, так сказать, «штатского» администратора всегда назнача- 
ют приятных и умеющих общаться девушек. На приличном ресепшене сидит 
человек, который тебе всегда поможет и подскажет, а не обложит матом 
и не попросит литр пива и рыбки к нему за ерундовую услугу. 

Соответственно, для объекта администрирования важно, чтобы людям 
было удобно работать. Девушку Таню ведь не волнуют проблемы безопас- 
ности, связанные с дырками в IIS 6.0, ей интересно послушать музыку и посп- 
летничать с соседкой Ксюшей о новом галстуке начальника. Но она не может 
сделать этого, потому что администратор Эммануил считает, что аська несет 
потенциальную угрозу безопасности. Бред? Конечно. А если начальник Зино- 
вий Галактионович считает, что использование аськи пагубно сказывается 
на удоях... тьфу, то есть на работоспособности, то хороший администратор 
должен убедить его в обратном. Потому что девушки все равно будут сплет- 
ничать (с помощью гугл-тока или просто в туалете), и на работоспособность 
это никак не повлияет. 

И, конечно, безопасность, — от нее никуда не денешься. Скажи мне, по- 
жалуйста, о какой безопасности можно говорить, если сложный пароль сек- 
ретарша записывает на бумажку и кладет ее под клавиатуру или наклеивает 
на монитор. А если ее за это отругать, то она сменит пароль на «123», чтобы 
было проще запомнить. И здесь администратор должен проявить умение об- 


щаться и убеждать (учить) секретаршу пользоваться специальными програм- 
мами для записи конфиденциальной информации. Так что хороший админи- 
стратор, в моем понимании, это тот, кто умеет решать проблемы пользовате- 
лей, а не создавать им проблемы. Тогда глядишь, коллеги не будут зло сме- 
яться над его внешностью, грязными ногтями и желтыми от кофе и курева 
зубами. Этих атрибутов просто не будет. А еще я за то, чтобы администрато- 
ра, как и футбольного арбитра, не было заметно. 

КОНСТАНТИН ГАВРИЛЕНКО: На этот вопрос невозможно дать однознач- 
ный ответ, и выделить единственный архиважный компонент. Принцип админи- 
стрирования определяется ИТ-политикой компании, и в зависимости от этого 
можно определить некоторые направления, которые и будут являться домини- 
рующими в работе администратора. 

В первую очередь, любой человек, занимающийся администрировани- 
ем, должен руководствоваться двумя основными принципами: стабильность 
и безопасность. Следом за ними идут функциональность и автоматизация. 
На самом деле, все четыре составляющие достаточно тесно переплетены 
между собой. Квалифицированный администратор должен уметь просчитать 
последствия во взаимодействии перечисленных составных частей от измене- 
ний, вносимых в структуру администрируемого объекта. 

Но вне зависимости от типа администрируемой сети и потенциального 
материального ущерба от ее взлома, безопасность является одним из наибо- 
лее важных компонентов. Степень безопасности напрямую воздействует, 
по крайней мере, на стабильность и функциональность. Для каждой из дру- 
гих частей, при условии самого неприятного исхода, существует возмож- 
ность исправить и вернуть все на свои места. В случае с безопасностью такая 
возможность отсутствует. 

Останавливаясь на качествах администратора, особо стоит отметить 
отсутствие туннельного мышления и нестандартного подхода к решению 
проблем. А также любви к пицце, кофе и хорошему пиву. 

АЛЕКСЕЙ ЛУКАЦКИЙ: В администрировании главное — планирование, 
как бы непривычно это не звучало. Причем планирование не в его советском 
понимании, а классический план, включающий в себя ответы на вопросы: 


— ЧТО И ЗАЧЕМ НАДО СДЕЛАТЬ (ПО-КРУПНОМУ) ? 
ОТВЕТ НА ЭТОТ ВОПРОС ДОЛЖЕН БЫТЬ ТЕСНО СВЯЗАН 
С ЦЕЛЯМИ ОРГАНИЗАЦИИ. НАПРИМЕР, ВНЕДРЕНИЕ 
|Р-ТЕЛЕФОНИИ ПОЗВОЛИТ СЭКОНОМИТЬ НА МЕЖДУГОРОДНИХ 
ПЕРЕГОВОРАХ И ПОЛУЧИТЬ НОВЫЕ ПРЕИМУЩЕСТВА 
ОТ ИСПОЛЬЗОВАНИЯ ТЕЛЕФОНИИ (НАПРИМЕР, ИНТЕГРАЦИЯ 
С СВМ-СИСТЕМОЙ И ПОЛУЧЕНИЕ ВСЕЙ ИСТОРИИ ЗАКАЗОВ 
ИЛИ TROUBLESHOTING CASE’OB ЗВОНИВШЕГО). 


ЧТО НАДО СДЕЛАТЬ КОНКРЕТНО? 
ДАЛЬШЕ МЫ ОПРЕДЕЛЯЕМ КОНКРЕТНЫЕ ДЕЙСТВИЯ, 
ПОЗВОЛЯЮЩИЕ ДОСТИЧЬ ПОСТАВЛЕННОЙ ЗАДАЧИ. 


— КОГДА ЭТО НАДО СДЕЛАТЬ, И КТО ЭТИМ ЗАЙМЕТСЯ? 
УСТАНАВЛИВАЕМ СРОКИ И ОТВЕТСТВЕННЫХ. 
ЕСЛИ ОРГАНИЗАЦИЯ НЕБОЛЬШАЯ, ТО ОТВЕТСТВЕННЫЙ 
ВСЕГДА БУДЕТ ТОЛЬКО ОДИН. 


— КАК ИЗМЕРИТЬ ЭФФЕКТИВНОСТЬ? 
ЭТО ОЧЕНЬ ВАЖНЫЙ МОМЕНТ, КОТОРЫЙ ОБЫЧНО ИЗ ВИДУ 
УПУСКАЕТСЯ. СДЕЛАТЬ ЧТО-ТО — СДЕЛАЛИ, А ВОТ ПРОВЕРИТЬ, 
НАСКОЛЬКО СДЕЛАННЫЕ ИЗМЕНЕНИЯ КОРРЕКТНЫ И ПРИВОДЯТ 
К НУЖНОМУ РЕЗУЛЬТАТУ, ЗАБЫВАЮТ. ИНОГДА РЕЗУЛЬТАТ, 
ТАК СКАЗАТЬ, НАЛИЦО. НО ЗАЧАСТУЮ ПРИХОДИТСЯ ПРОВОДИТЬ 
ДОСТАТОЧНО СЛОЖНЫЕ ИССЛЕДОВАНИЯ И ИСПЫТАНИЯ, 
ЧТОБЫ ПОНЯТЬ, ЧТО ВСЕ РАБОТАЕТ «КАК ЗАДУМАНО». 


И только после ответа на все эти вопросы надо переходить непосредственно 
к конкретным действиям, которые многие и понимают как истинное админи- 
стрирование © 
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SPECIAL DELIVERY 


На вопросы отвечает 
эксперт этого номера, 
известная личность 

в Сети — 


СПЕЦ 07 + 68 


ЧТО САМОЕ СЛОЖНОЕ В РАБОТЕ 
СИСТЕМНОГО АДМИНИСТРАТОРА? 


Как это ни странно, но самое сложное — это 
понять, в чем заключается проблема. Хоро- 
ший системный администратор в первую очередь 
должен уметь работать не с «железом», а с людь- 
ми, быть и психологом, и инженером. Четко поста- 
вленную техническую задачу решить легко (даже 
если эта задача из разряда «тяжелых»), а вот ра- 
зобраться, чего хочет обратившийся к нему поль- 
зователь, с первого раза удается далеко не всег- 
да. «Для того, чтобы правильно задать вопрос, нуж- 
но знать как минимум 80% ответа» (с) Азимов. 
Все пользователи делятся на две категории: 
те, кто знает, что они ничего не знают, и те, кто ду- 
мает, что они знают все. 

В первом случае к тебе обращаются с претен- 
зией типа: «у меня не работает интернет». Ты смо- 
тришь таблицу ARP'oB на его порте и видишь, что 
все должно работать... Можно, конечно, на этом 
и закончить, но пользователь приносит тебе де- 
ньги. Это он их зарабатывает, а ты их получаешь, 


© 
© 


так что надо разбираться дальше. Приходится 
учить людей владеть компьютером хотя бы в такой 
степени, чтобы первичную диагностику возможно 
было провести по телефону, подсказывая пользо- 
вателю, на что нажимать. Плюс, постоянно сталки- 
ваясь с однотипными звонками, администратор 
постепенно вырабатывает набор простых вопро- 
сов, на которые ответит кто угодно. 

Со второй категорией общаться намного 
сложнее. Они уверены, что гораздо лучше знают, 
в чем проблема, и отказываются как-то реагиро- 
вать на твои доводы, затягивая ее решение Ha нео- 
пределенный срок. Например, однажды мне приш- 
лось устраивать конференцию с админом крупной 
компании и админом банка. Админ клиента уве- 
ренно рассказывал мне, как наш firewall мешает 
работать его клиент-банку (в действительности, 
никакого firewall'a для этого клиента у нас не бы- 
ло). А админ банка отказывался верить, что у него 
«вклинило» маршрутизацию, в результате чего 
сервер, обслуживающий клиент-банк, остался без 
связи с доброй половиной России! Но главным ар- 
гументом оба админа считали: «все остальное же 


работает!». Хуже всего, что из-за таких пользова- 
телей страдают действительно разбирающиеся 
профи, которых рефлекторно принимаешь за вы- 
шеописанный тип людей и изначально не обраща- 
ешь внимания на то, что они говорят. 

НЕУЖЕЛИ ВСЕ СЛОЖНОСТИ 
© ИЗ-ЗА ПОЛЬЗОВАТЕЛЕЙ? 


© Конечно нет. Администраторы так же ус- 

пешно сами создают себе проблемы. Всем 
нам часто кажется, что мы уже сталкивались 
с точно такой же проблемой. И вместо того, чтобы 
проделать стандартный набор действий (в зависи- 
мости от ситуации и проблемы), позволяющих ди- 
агностировать неисправность, пытаемся «починить» 
то, что, как нам кажется, «поломалось». Тем самым 
можно на несколько часов загнать себя 
в состояния поиска черной кошки в темной комна- 
те, которая там и не ночевала. После чего ты все- 
таки вернешься к началу и поймешь, что решение 
было тривиально, и следующие полчаса пройдут 
в воспоминаниях, что же ты успел поменять, дабы 
вернуть все в исходное состояние. 

В целом, у администратора должно быть два 
основных качества. Первое — умение выуживать 
из людей нужную информацию. Второе — необхо- 
димо иметь «систему» отладки/поиска проблемы, 
развитую на подсознательном уровне. Надо уметь 
шаг за шагом отсекать не имеющие отношения 
к делу звенья, чтобы в конце найти неисправное. 
Очень часто администраторы устраняют не причину 
проблем, а ее следствия. Это из серии: не видно — 
значит все хорошо. Если администратор обладает 
всеми вышеперечисленными качествами, то ни но- 
вое оборудование, ни новое программное обеспе- 
чение не станут для него большой проблемой. 


© Разумеется, нет! Что сделал один человек, 

сможет сломать другой. Это вопрос вре- 
мени и средств, которые хакер готов потратить на 
взлом. Ну и конечно, все зависит от цели, которую 
преследует атакующий. А цели бывают разными: 
получить доступ к конфиденциальным данным, 
уничтожить информацию, не дать работать неде- 
лю и т. д. Более того, достаточно важный вопрос: 
какие усилия способен приложить взломщик, что- 
бы остаться незамеченным и не пойманным. 


МНОГИЕ УТВЕРЖДАЮТ, ЧТО 
МОГУТ ЗАЩИТИТЬ СВОЮ СЕТЬ 
ТАК, ЧТО НИКТО НЕ СМОЖЕТ 
СЛОМАТЬ ЕЕ. РЕАЛЬНО? 


КАК ПРОЩЕ ВСЕГО ХАКЕР МОЖЕТ 
ОБЕЗОПАСИТЬ СЕБЯ? 


© Проще всего отрезать кабель, когда никто 
не видит. По крайней мере передающую 
жилу Ethernet'a при sniffing'e отрезать стоит навер- 
няка, поскольку существует масса противохакер- 


ских способов, обнаруживающих даже пассивный 
грабеж трафика. Как вариант, можно вести взлом 
чужими «руками». 


© Hy, предположим, что мы хотим атаковать 

своего конкурента, сидящего в соседней 
комнате. Возьмем диапазон его 1Р-адресов и, под- 
ставив их в качестве Source, будем посылать паке- 
ты всему миру. И мир ответит. На эти адреса. 
Жертва увидит поток мусора, падающий со всех 
сторон, который загружает канал и не дает нор- 
мально работать. Но противостоять этому не смо- 
жет, даже если поставит «персональный» бран- 
дмауэр, создающий видимость «защиты» от атак 
такого типа, но бессильный «очистить» канал. Ни- 
какой защиты OT ВоЗ-атак не будет, пока все опе- 
раторы не поменяют магистральное оборудование 
(которого на сегодняшний день просто нет). Либо 
не будет принципиально изменена идеология ди- 
намической маршрутизации. Иначе как только 
у меня есть подключения по ВСР, ко мне беспре- 
пятственно могут приходить пакеты, идущие отку- 
да угодно и куда угодно. 


© Абсолютно верно! Если у тебя есть воз- 

можность подойти к кабелю так, чтобы 
до него дотронуться, то это делается без проблем. 
Из школьного курса физики известно, что вокруг 
провода, в котором «живет» электричество, всег- 
да присутствует электромагнитное поле. Суще- 
ствует миф о том, что экранированный кабель или 
кабель с двойным экраном (когда экран есть у каж- 
дой пары и есть общий экран) полностью «нейтрали- 
зует» это поле. Но в действительности все не так. 
Оборудование, перехватывающее сигнал, может 
быть построено по разным принципам, но «спря- 
тать» сигнал за фольгой не получится. Более того, 
нет особых проблем, чтобы считать сигнал и на рас- 
стоянии в метр. 


© 
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НО ВЕДЬ МОЖНО ЖЕ ОТСЛЕДИТЬ, 
ОТКУДА ИДЕТ АТАКА?! 


ПРАВДА, ЧТО СИГНАЛ В МЕДНОМ 
КАБЕЛЕ МОЖНО «ПОДСЛУШАТЬ» 
БЕЗ РАЗРЫВА? 


ГОВОРЯТ, ЧТО СВЯЗЬ 
ПО ОПТОВОЛОКНУ БЕЗОПАСНЕЕ, 
ЧЕМ СВЯЗЬ ПО МЕДИ. ЭТО ТАК? 


Это не так! Люди, которые так говорят, сами 
не работали с оптоволокном или не до кон- 
ца знают, как и для чего его можно использовать. 
Им кажется, что параллельно подключиться к мед- 
ным проводам можно, а к оптоволокну — нельзя. 
На деле к оптоволокну подключаются точно так 
же, только вместо скруток используются делители 
сигнала: одно волокно разводится, и одинаковые 
сигналы меньшей мощности идут в оба волокна. 
Дальше — техника та же, что и с медью. 


ПО ЛОГИКЕ ОПТИКА ГОРАЗДО 
НАДЕЖНЕЕ, ЭЛЕКТРИЧЕСТВА В НЕЙ 
НЕТ И, ЗНАЧИТ, БЕЗ РАЗРЫВА 
ЕЕ ПРОСЛУШАТЬ НЕ УДАСТСЯ? 


© По логике да, но логика и современные 

технологии — это две несовместимые ве- 
щи. Существует общедоступный прибор, часто ис- 
пользуемый при работе с оптикой. Если его подне- 
сти к кабелю, он покажет, присутствует ли в нем 
сигнал, и в какую сторону он направлен. Техниче- 
ские подробности и принцип работы мне не изве- 
стны, но раз он работает, то, следовательно, часть 
фотонов все-таки просачивается наружу. 


© Смотря что понимать под «безопасно- 
стью». Абсолютная «абстрактная защита» 
существует лишь на бумаге. В реальной же жизни 
ты всегда защищаешь что-то конкретное: доку- 
менты, которые ты посылаешь по почте, файлы, 
которые лежат у тебя на компьютере, или что-то 
еще. Прежде чем говорить о «защите», необходи- 
мо оценить условную стоимость охраняемого 
объекта для тебя и потенциального злоумышлен- 
ника (с поправкой взлома на «интерес» и стремле- 
ния кому-то отомстить или напакостить). После 
этого остается выбрать адекватный способ защи- 
ты, гарантирующий, что стоимость взлома будет 
выше стоимости охраняемой информации, в ре- 
зультате чего взлом становится экономически не- 
целесообразным и нерентабельным. Остаются 
только месть типа «вендетты» и вандализм. А вот 
с этими типами сложнее. Если кто-то очень умный, 
очень влиятельный и очень-очень-очень сильно ра- 
зозленный захочет сломать твой сервер, то с высо- 
кой степенью вероятности он его сломает. 


($) В этом случае, в первую очередь, необхо- 
димо обеспечить безопасность на админи- 
стративном уровне: компьютеры в железных клет- 
ках, вход только по пропускам, камеры наблюде- 
ния на каждом шагу и т.д. Плюс служба охраны — 
отобрать данные «физическим» путем гораздо про- 
ще. Если же ты интересуешься, как максимально 
защитить данные, передаваемые по сети, ответ 
очень прост — не используй ничего стандартного! 
Если ты используешь свое оборудование, свои 
протоколы связи, свои алгоритмы шифрации 
(пусть и достаточно простые, которые ты сделал 
сам или кто-то сделал специально для тебя), у то- 
го, кто покушается, не будет возможности экспе- 
риментировать и искать дыры. Скорее всего он бу- 
дет очень долгое время пытаться понять, что же это 
такое, а потом и вовсе бросит это занятие © 


СКЛАДЫВАЕТСЯ ВПЕЧАТЛЕНИЕ, 
ЧТО НЕТ НИКАКОГО СПОСОБА 
СДЕЛАТЬ СЕТЬ БЕЗОПАСНОЙ. 


А ЕСЛИ ДАННЫЕ ПРАКТИЧЕСКИ 
БЕСЦЕННЫ ? 


ОФФТОПИК 


nard 


споет и покажет 


В СТАРОДАВНИЕ ВРЕМЕНА В МОЛОДЕЖНЫХ КРУГАХ БЫЛО ОЧЕНЬ 
ПОЧЕТНО ИМЕТЬ КАССЕТНЫЙ ПЛЕЕР. ПОМНИШЬ? СЕГОДНЯ 
ВЫДЕЛИТЬСЯ ПОДОБНЫМ ОБРАЗОМ СТАЛО СЛОЖНЕЕ. 

А ВСЕ-ТАКИ ХОЧЕТСЯ, ПРАВДА? НУ ЧТО Ж, СЕГОДНЯ 

МЫ ПРЕДОСТАВИМ ТЕБЕ ТАКОЙ ШАНС 

СЕРГЕЙ НИКИТИН, АЛЕКСЕЙ МАЛАШИН 


тестовый стенд: 

ПРОЦЕССОР: AMD Athlon ХР 2400+ 

СИСТЕМНАЯ ПЛАТА: JetWay N2View (nForce 2) 
ОПЕРАТИВНАЯ ПАМЯТЬ: 512 Мб, DDR 333 
ВИДЕОПЛАТА: 128 Мб, GeForce Ti 4200 

ЖЕСТКИЙ ДИСК: 120 Гб, Seagate Barracuda 7200 RPM 


Протестированные устройства — не банальные проигрыватели музыки, 

а многофункциональные устройства, которые могут работать и с видеофай- 
лами, и с фото, и с текстом, да и кучу всего они еще могут. Такие изделия по- 
ка не очень распространены, так что читай наш тест, чтобы выбрать лучшее! 
> — методика тестирования. Для наиболее точного выявления возможностей 
этих устройств мы разработали методику тестирования с предельно прикладной 
направленностью. Испытаний было три. Первое заключалось 

в закачивании на плеер тестового пакета DivX Test CD. Это множество файлов, 
записанных при помощи разных кодеков, а так же с использованием разных 
разрешений и аудиопотоков. Потом они запускались, и тем самым мы проверя- 
ли, с каким видео плеер реально может работать. Дальше идет тест на ско- 
рость — копирование с компьютера на плеер 700 Мб фильма. Что может быть 
типичнее такой задачи? Время копирования засекалось. Третий тест был на 
продолжительность работы. На плеере с полностью заряженным аккумулятором 
запускался только что закачанный на него фильм и шел до тех пор, пока бата- 
рея устройства не садилась. Помимо этого, мы обращали внимание на внешний 
вид и габариты устройств, на удобство и простоту управления, комплект постав- 
ки, качество поставляемых наушников и множество других параметров. Резуль- 
таты этих наблюдений нашли себя в описаниях конкретных устройств. 

> технологии. Объясним вкратце, что обозначают значения из таблиц 

и какие типы кодирования используются на тестовом диске. 

> кодеки. Здесь можно провести аналогию с архиватором, то есть кодек 
призван сжимать исходное видео, однако, делается это также и за счет 
потери качества изображения. Поэтому стали разрабатывать алгоритмы 
для обеспечения наименьших потерь путем применения разнообразных тех- 
нологий, которые различаются у разных версий кодеков. 

DivX 3 — наиболее старый кодек, алгоритм которого изначально был 
заимствован у Microsoft, представляет собой несколько измененную версию 
MPEG4.3 (здесь отсутствуют некоторые ограничения, сам же алгоритм 
не изменен). Обозначение складывается так: <видеокодек><битрейт в kb/s 
1000><аудиокодек> (по умолчанию, аудиокодек = MP3 128 kb/s). То есть, 
например, «fast8k» обозначает, что этот файл закодирован при помощи 
Fast Motion (для быстрых сцен) с потоком -3000 kbps (а если быть точнее, 
то 2649 kbps), звуковая же дорожка представлена в формате MP3. Тогда 
как «low8k-DivXTon» говорит о том, что фрагмент представляет из себя Low 
Motion (для медленных сцен) ~3000 kbps с аудио в форме DivX Audio 64kb/s. 


* 


DivX5 — версия кодека, значительно отличающаяся от предыдущей 
(включает множество дополнительных возможностей) с улучшенными алго- 
ритмами кодирования. Здесь нам предлагаются такие вкусности, как подде- 
ржка GMC (Global Motion Compensation — глобальная компенсация движе- 
ния, — что помогает снизить потери при сжатии кадров), Quarter Pixel (об- 
работка векторов движения с точностью до четверти пикселя), а также мо- 
делирование восприятия изображения человеком (снижение качества кар- 
тинки из расчета того, что глаз этого просто не заметит). Тестовые позиции 
обозначаются здесь так: <режим сжатия (по умолчанию 1ра$$)><битрейт 
видео в kbps * 1000><алгоритм обработки><битрейт аудио (по умолчанию 
MP3 129 kbps)>. Покажем пример: «6k-gmc-bf-320» — говорит о том, 
что это однопроходное кодирование, с видеобитрейтом -6000 kbps, приме- 
ненными алгоритмами GMC и В-Егатез и аудио в формате MP3 320 kbps, 
а «1k-qpel» означает сжатие за один проход с ~1000 kbps алгоритмом 
Quarter Pixel и аудио по умолчанию. 

XviD — изначально это альтернативная разработка «сжимателя» 
MPEG4 с открытым исходным кодом, причем являющаяся конкурентом пре- 
дыдущих двух (можно заметить, что XviD это обратное написание DivX). 

Тут надо сказать о том, что до недавнего времени кодер был весьма неста- 
бильным, а результат его работы был далеким от приемлемого. Однако, 
последнее время позиции этого формата становятся довольно крепкими, 

и он начинает получать распространение среди пользователей. Алгоритмы 
работы весьма близки к DivX5, а обозначения тестовых трэков из тестового 
пакета совпадают. 

> режимы сжатия. Однопроходный (1 pass): 


— С ПОСТОЯННЫМ БИТРЕЙТОМ (CBR — CONSTANT BIT RATE): 
РЕЖИМ, КОГДА КАЖДАЯ ГРУППА КАДРОВ (НАПРИМЕР, 25 = 1 
СЕКУНДЕ ВИДЕО) ИМЕЮТ ОДИН И ТОТ ЖЕ РАЗМЕР. 

ЗДЕСЬ ХОРОШО ТО, ЧТО ТАКОЙ РЕЖИМ ПРОСТ ДЛЯ 
КОДИРОВАНИЯ И, СООТВЕТСТВЕННО, ТРЕБУЕТ МАЛЫХ 
СИСТЕМНЫХ РЕСУРСОВ. ИЗ МИНУСОВ ЖЕ НАДО ОТМЕТИТЬ 
НИЗКОЕ КАЧЕСТВО ПОЛУЧАЕМЫХ ФРАГМЕНТОВ. 


— С ПЕРЕМЕННЫМ БИТРЕЙТОМ (VBR — VARIABLE BIT RATE): 
ЗДЕСЬ УЖЕ ПРИСУТСТВУЕТ НЕКОТОРАЯ ОБРАБОТКА, 
ТАК ДЛЯ ПРОСТЫХ КАДРОВ ИСПОЛЬЗУЕТСЯ ЛИШЬ ЧАСТЬ 
БИТОВ (А «ЛИШНИЕ» КЛАДУТСЯ В РЕЗЕРВУАР), ТОГДА КАК 
ДЛЯ СЛОЖНЫХ ИСПОЛЬЗУЮТСЯ ВСЕ БИТЫ + РЕЗЕРВНЫЕ; 
ПОЭТОМУ ЗДЕСЬ МЫ ПОЛУЧАЕМ ЛУЧШЕЕ КАЧЕСТВО 
ИЗОБРАЖЕНИЯ ПРИ ЧУТЬ БОЛЬШИХ ЗАТРАТАХ РЕСУРСОВ. 
ЗДЕСЬ ЖЕ НАЧИНАЮТ ПРОЯВЛЯТЬ ИНТЕРЕСНЫЕ АРТЕФАКТЫ 
(ИЗ-ЗА ОГРАНИЧЕННОСТИ РАЗМЕРА РЕЗЕРВУАРА): КОНЕЦ 
СТАТИЧНЫХ СЦЕН ОКАЗЫВАЕТСЯ ВЫСШЕГО КАЧЕСТВА 
(ПОСКОЛЬКУ В РЕЗЕРВУАРЕ МНОГО ДОПОЛНИТЕЛЬНЫХ БИТ), 
А ДИНАМИЧЕСКИЕ СЦЕНЫ НАОБОРОТ «ПЛОХИЕ» ИЗ-ЗА 
ОТСУТСТВИЯ НУЖНЫХ БИТ. 


™ С ОДИНАКОВЫМ КАЧЕСТВОМ: РЕЖИМ, В КОТОРОМ мате 6К-320 проигрывало малое количество плееров, так как некоторые 
ИСПОЛЬЗУЕТСЯ СЖАТИЕ КАДРОВ, ПО АНОЛОГИИ из них попросту не смогли «переварить» такие файлы. 
С АЛГОРИТМОМ JPEG, ПОЭТОМУ ПОЛУЧАЕМ НЕОДНОРОДНЫЙ > звук. Рассмотрим аудиочасть, где чаще всего встречаются три следу- 
БИТРЕЙТ, НО ОДИНАКОВОЕ КАЧЕСТВО. САМ ЖЕ КОЭФФИЦИЕНТ — ющих кодека: 
СЖАТИЯ МОЖНО МЕНЯТЬ, ЧТО БУДЕТ ВЛИЯТЬ НА 
ПИКСЕЛЬНОСТЬ КАРТИНКИ, ПРИЧЕМ ЭТОТ РЕЖИМ 
МАЛОТРЕБОВАТЕЛЕН К РЕСУРСАМ. 


1 МРЗ — КОДЕК, ПОЛУЧИВШИЙ ОГРОМНОЕ РАСПРОСТРАНЕНИЕ 
СРЕДИ АУДИОФАНАТОВ, ПОСКОЛЬКУ ПОЗВОЛЯЕТ ЗНАЧИТЕЛЬНО 
СНИЗИТЬ ОБЪЕМЫ МУЗЫКАЛЬНЫХ ПРОИЗВЕДЕНИЙ 
Двупроходный (2 pass) — довольно сложный для кодирующей системы, пос- БЕЗ СИЛЬНЫХ ПОТЕРЬ В КАЧЕСТВЕ (ЗА СЧЕТ ИЗМЕНЕНИЯ 
кольку требует в два раза большего времени (первый проход — это оценка БИТРЕЙТА), ПРИЧЕМ ПРИМЕНЯЮТСЯ СХЕМЫ С VBR И CBR. 
«сжимаемости» каждого кадра, а второй — собственно сжатие), также 
необходимо распределение различных фильтров и обработчиков по кад- 
рам. Зато результат здесь значительно выше всех однопроходных вариан- 
тов, а требования к воспроизводящей системе малы. 

> битрейт. Это одна из немаловажных характеристик как видео, так 

и аудиофайла, поскольку показывает количество бит, отведенных на одну 
секунду видео или звука. Соответственно, чем выше этот показатель, тем 
более качественный результат мы получаем, но здесь надо помнить, что 
возрастает и нагрузка на воспроизводящую систему, поскольку надо обес- 3 DIVXAUDIO — СПОСОБ КОДИРОВАНИЯ ЗВУКА, 

печить обработку большего количества данных. Поэтому фрагменты в фор- РАЗРАБОТАННЫЙ ТОЙ ЖЕ ГРУППОЙ, ЧТО СОЗДАЛА ВИДЕОКОДЕК. 


2 АСЗ — ФОРМАТ МНОГОДОРОЖЕЧНОЙ ЗАПИСИ ЗВУКА 
ВЫСОКОГО КАЧЕСТВА (ВЫСОКОГО БИТРЕЙТА) OT DOLBY DIGITAL, 
ПОЗВОЛЯЕТ СОЗДАВАТЬ СЖАТЫЕ ФАЙЛЫ ДЛЯ ПРОСЛУШИВНИЯ 
НА 5.1 СИСТЕМАХ БЕЗ ОСОБЫХ ПОТЕРЬ В КАЧЕСТВЕ. 
ОБОЗНАЧЕНИЯ ЗДЕСЬ ТАК ЖЕ ПРОСТЫ ДЛЯ ПОНИМАНИЯ. 
НАПРИМЕР, «1XAC3-448» — ЭТО ОДНОДОРОЖЕЧНЫЙ ФАЙЛ 

СО ЗВУКОМ В ФОРМАТЕ АСЗ И БИТРЕЙТОМ 448 KBPS. 


Creative Zen Vision 
($500) 8 баллов 


ОБЪЕМ 30 Гб 


РАЗМЕР ЭКРАНА,: 3,7 дюйма 


ФОРМАТЫ АУДИО: MP3, WMA, OGG, WAV 


ФОРМАТЫ ВИДЕО: WMV9, MPEG1/2/4-SP, 
Motion-JPEG, DivX (4,5), XviD 


ФОРМАТЫ ФОТО: BMP, JPEG 


ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ: 
чтение карт CompactFlash, радио-тюнер 


ИНТЕРФЕЙС: USB 2.0 


КОМПЛЕКТ ПОСТАВКИ: Наушники, адаптер 
питания, УЗВ-кабель, шнур для А//-выхода, 
чехол, ПО Creative MediaSource, Creative 
Media Explorer, инструкция по установке 

и эксплуатации 


ВОЗМОЖНОСТЬ ОБНОВЛЕНИЯ ПО: да 


РАЗМЕРЫ: 124.2х74.4х20 мм 


ВЕС: 239 г 


> — плюсы. Это довольно увесис- 
тый девайс размером с ладонь. 

Он обладает большим экраном. 
Если это никому не мешает, 

то можешь слушать на нем музыку 


через динамики, а если рядом 
раздражительные люди, то через 
наушники из комплекта поставки 
(очень, кстати, хорошие, даром, 
что «капельки»). Меню и навигация 
по нему просты и удобны, разбира- 
ешься во всем сразу. Плеер рабо- 
тает со всем — музыка, видео, фо- 
то и тексты, так что большой цвет- 
ной дисплей без работы не оста- 
нется. Из дополнительных возмож- 
ностей хочется отметить слот для 
карт СЕ, прикрытые крышечкой 
порты и встроенный микрофон. 
Девайс может получать питание 

по У$В-шине. 

> = минусы. Закачать информа- 
цию на плеер можно только через 
процедуру синхронизации, запущен- 
ную в Windows Media Player’e. 

Это не совсем удобно. Из проводни- 
ка можно записать информацию на 
плеер только в режиме его работы 
«Съемный диск». Агрегат несколько 
раз зависал при тестировании. 


РМР-120 


iRiver PMP-120 
($500) 7 баллов 


ОБЪЕМ: 20 Гб 


РАЗМЕР ЭКРАНА: 3,5 дюйма 


ФОРМАТЫ АУДИО: MP3, WMA, WAV, ASF 


ФОРМАТЫ ВИДЕО: АМ, MPEG4 


ФОРМАТЫ ФОТО: JPEG, BMP 


ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ: 
радио-тюнер, прямое кодирование в MP3, 
USB-xocT, подключение к ТВ 


ИНТЕРФЕЙС: USB 2.0 


КОМПЛЕКТ ПОСТАВКИ: инструкция, утили- 


ты, блок питания, интерфейсный кабель, на- 


ушники, необходимые соединительные прово- 


да, футляр для переноски 


ВОЗМОЖНОСТЬ ОБНОВЛЕНИЯ ПО: да 


РАЗМЕРЫ: 139х84х32 мм 
ВЕС: 280 г 


> — плюсы. Большой экран сразу 
заявляет о том, что на этом плеере 
можно не без удовольствия смотреть 
фильмы. Проверка показала, что это 
действительно так — дисплей качест- 


венный, звук из динамика льется, ко- 
нечно, не Surround Sound, но вполне 
ничего. Кроме фильмов на этом пле- 
ере можно просматривать все осталь- 
ное — фотки, музыку, тексты. Удоб- 
ная конструкция корпуса позволяет 
ставить его на стол, а не держать 

в руках или на коленях. В комплект 
поставки входит все необходимое, 
даже футляр для транспортировки 
устройства. 

Понравилось, что наш тесто- 
вый файл скопировался на жесткий 
диск плеера довольно быстро. Воз- 
можно использование в качестве 
USB-xocta, то есть подключаешь 
к плееру камеру и скидываешь фот- 
ки — компьютер не нужен. 

3» — минусы. Хотя, например, отк- 
рытие файлов — здесь процесс 
довольно неспешный. Средства уп- 
равления очень запутаны, так что 
поначалу придется осваивать спосо- 
бы управления этим изделием. 
Цена его очень велика. 
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Samsung YH-J70 
($380) 6 баллов 


ОБЪЕМ, ГБ: 20 Гб 


КОМПЛЕКТ ПОСТАВКИ: адаптер питания, ка- 
бели, переходники, диск с ПО 
ВОЗМОЖНОСТЬ ОБНОВЛЕНИЯ ПО: да 
РАЗМЕРЫ: 62х99,8х16,4 мм 


РАЗМЕР ЭКРАНА, ДЮЙМЫ: 1,5 дюйма 


ВЕС: 135 г 


ФОРМАТЫ АУДИО: MP3, WMA, OGG, WAV 


ФОРМАТЫ ВИДЕО: MPEG4 


ФОРМАТЫ ФОТО: JPG 


ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ: 
встроенный микрофон, 
радио-тюнер 


ИНТЕРФЕЙС: USB 2.0 


> плюсы. Очень компактный 
плеер, который идеально подойдет 
тем, кто ищет себе спутника в доро- 
гу. Девайс сможет развлечь тебя 

и музыкой, и видеоклипом, и текс- 
том, и фотографией. В общем, 


с ним не соскучишься. В комплекте 
поставки найдется все необходимое 
для работы — кабели, переходники, 
инструкции и так далее. 

Показал очень большое время 
автономной работы, что подтверж- 
дает его ориентацию на мобильных 
пользователей. 

Смог воспроизвести все фай- 
лы из тестового пакета, благодаря 
одной своей не очень приятной 
особенности. 


> — минусы. Работает только с ви- 
деофайлами своего формата, так что 
все фильмы и клипы придется пред- 
варительно в него конвертировать, 
а это занимает очень много времени 
(на тестовом компьютере 700 Мб 
преобразовывались целый час). Не- 
большие размеры, а значит экран 
тоже невелик. Наушники в комплек- 
те среднего качества. Меню и нави- 
гация не так удобны, как у более га- 
баритных конкурентов. 


Epson P2000 
($500) 8 баллов 


ОБЪЕМ: 40 Гб 
РАЗМЕР ЭКРАНА: 3,8 дюйма 


ФОРМАТЫ АУДИО: MP3, ААС 


ФОРМАТЫ ВИДЕО: MPEG4, Motion JPEG 


ФОРМАТЫ ФОТО: JPEG, TIFF, RAW 


ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ: 
карты CompactFlash type ||, карты SD, прямая 
печать на принтеры, подключение к ТВ 


ИНТЕРФЕЙС: USB 2.0 


КОМПЛЕКТ ПОСТАВКИ: аккумулятор, 
адаптер переменного тока, кабель USB, 
инструкция, полставка, футляр и ремешок 
для переноски, набор ПО 


ВОЗМОЖНОСТЬ ОБНОВЛЕНИЯ ПО: да 


РАЗМЕРЫ: 147x84x31 мм 


ВЕС: 415 г 


> плюсы. Нашему вниманию 
представляется еще один плеер 

с большим экраном, большим 
жестким диском и большими воз- 
можностями по работе с различны- 
ми видами файлов. Ну, на большом 
дисплее и фотки, и тексты смотрят- 
ся хорошо. Понравилось удобное 

и понятное меню, продуманная сис- 


тема управления. Файлы на плеер 
закидываются прямо из проводника 
безо всяких сторонних утилит. 

У этого устройства великое множе- 
ство дополнительных функций. 
Работа с двумя типами флеш-карт, 
возможность передачи данных нап- 
рямую на принтер, без участия 
компьютера, а также опция подклю- 
чения плеера к телевизору дает ему 
возможность стать не просто 
средством развлечения. Так что 
перед вами многофункциональный 
комбайн-помощник, а не банальная 
игрушка. Поразила близкая 

к рекордной скорость копирова- 
ния с компьютера на жесткий 

диск плеера. 

> — минусы. Такая богатая функ- 
циональность самым негативным 
образом отразилась на размерах 

и весе устройства, которые очень 
велики. Очень слабая поддержка 
воспроизведения видеофайлов — 
из тестового комплекта 
запустилась едва ли третья часть. 
Возможно, дело можно будет попра- 
вить заливкой новой прошивки, 
хотя не факт. 
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Archos Gmini 402 
($400) 7 баллов 


ОБЪЕМ: 20 Гб 


РАЗМЕР ЭКРАНА: 2,2 дюйма 


ФОРМАТЫ АУДИО: MP3, WMA, WAV 
ФОРМАТЫ ВИДЕО: MPEG4, АМ 


ФОРМАТЫ ФОТО: BMP, JPG 


ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ: 
USB-xoct, файловый менеджер, подключение 
к ТВ, игры 


ИНТЕРФЕЙС: USB 2.0 


КОМПЛЕКТ ПОСТАВКИ: наушники, 
USB-ka6enb, USB-host кабель, аудио/видео 
кабель и адаптер, зарядное устройство, 
чехол, инструкция по эксплуатации. 


ВОЗМОЖНОСТЬ ОБНОВЛЕНИЯ ПО: да 


РАЗМЕРЫ: 106х60,3х17,4 мм 
ВЕС: 160 г 


> — плюсы. Маленькая и очень 
удобная машинка, которая легко 
уместится в кармане. Несмотря 

на размеры, претендует на незави- 
симость от большого брата, 

так как обладает встроенным фай- 
ловым менеджером, который позво- 
ляет без привлечения к этому делу 
ПК переименовывать файлы, 
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создавать папки и так далее — 
в общем, нормальный такой 
файловый менеджер. Похожая 
штука есть и для упорядочивания 
твоей музыкальной коллекции 

по жанрам, именам и так далее. 

Как и другие участники ны- 
нешнего теста, этот малыш разбира- 
ется со всеми известными 
мировой науке видами файлов. 
Обладает встроенным микрофоном 
и возможностью вывода изображе- 
ний на ТВ. 

Система управления проста 
и довольно удобна. Несмотря на 
свои маленькие размеры, экран 
очень качественный. 
>» — минусы. Время копирования 
тестового 700 Мб файла более 
чем ощутимо, ну это понятно — 
размеры не позволили поставить 
быстрый жесткий диск. 

Запись мультимедийных дан- 
ных для последующего прослушива- 
ния, проигрывания и просматрива- 
ния возможна только через 
синхронизацию Windows Media 
Player’a. Через проводник можно 
записать файлы только как на съем- 
ный жесткий диск. 
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Поддержка различных разрешений плеерами. Здесь все файлы закодированы кодеком ОМХ 5.0. 
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Archos AV500 
($670) 8 баллов 


ОБЪЕМ: 30 Гб 


КОМПЛЕКТ ПОСТАВКИ: USB-ka6enb, 
хост-адаптер USB, АС-адаптер, наушники, 
защитный чехол, инструкция, ТВ-крэдл, 
пульт ДУ, аудио/видео кабели (SCART in 
и SCART out). 


РАЗМЕР ЭКРАНА: 4 дюйма 
ФОРМАТЫ АУДИО: MP3, WMA, WAV 


ВОЗМОЖНОСТЬ ОБНОВЛЕНИЯ ПО: да 


РАЗМЕРЫ: 76x124x1,8 мм 


ФОРМАТЫ ВИДЕО: MPEG4, AVI 


ВЕС: 255 г 


ФОРМАТЫ ФОТО: BMP, JPG 


ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ: 


USB-xocT, файловый менеджер, подключение 
к ТВ, игры 


ИНТЕРФЕЙС: USB 2.0 


> плюсы. Серьезно усовершен- 
ствованная версия Archos Gmini 
402 в измененном дизайне как сна- 
ружи, так и внутри. Изменен кор- 


пус, размещение портов и средств 
управления. Kak иу Archos Gmini 
402, интерфейс красочный и понят- 
ный. Со средствами управления 
разбираешься довольно быстро, 
система продуманная. Понрави- 
лось то, что в этой модели можно 
заливать любые файлы через про- 
водник, не заморачиваясь ни на ка- 
кие синхронизации. 

Все плюсы, вроде качествен- 
ного экрана, внутренних менедже- 


ров и так далее, сохранились. Также 
был заменен жесткий диск, что са- 
мым положительным образом сказа- 
лось на скорости копирования. 

И не забудем про отличный комп- 
лект поставки. 

> — минусы. Есть проблемы с Bocn- 
роизведением файлов из тестового 
комплекта — полностью не запусти- 
лись фильмы, закодированные 

DivX 3. Обновление прошивки пре- 
дусмотрено, но вряд ли это поможет. 


Archos PMA430 
($850) 9 баллов 


ОБЪЕМ: 30 Гб 

РАЗМЕР ЭКРАНА: 4 дюйма 

ФОРМАТЫ АУДИО: MP3, WAV, WMA 
ФОРМАТЫ ВИДЕО: АМ, MPEG4 
ФОРМАТЫ ФОТО: JPEG, PNG, GIF, BMP 


ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ: 
ОЗВ-хост, Wi-Fi b, IR, органайзер, игры, 
сенсорный экран 


ИНТЕРФЕЙС: USB 2.0 


КОМПЛЕКТ ПОСТАВКИ: Ц$В-кабель, 
АС-адаптер, наушники, защитный чехол, 
инструкция. 


ВОЗМОЖНОСТЬ ОБНОВЛЕНИЯ ПО: да 
РАЗМЕРЫ: 125х78х20 мм 

ВЕС: 280 г 

> плюсы. Самый навороченный 
из сегодняшних участников. Этот 
плеер обладает собственной ОС — 
Linux Qutopia, под управлением кото- 
рой находятся все дополнительные 


возможности этого устройства, а их 
немало. Это органайзер (адресная 
книга, калькулятор, календарь), игры, 
сенсорный экран, а также встроен- 
ный адаптер Wi-Fi, с помощью кото- 
рого можно выйти в интернет. Непло- 
хо для «плеера», правда? Естествен- 
но, он может просматривать любые 
типы данных, которые на него запи- 
сываются просто из проводника. 
Имеется встроенный микрофон, что 
дает устройству функции диктофона. 
Несмотря на такое обилие функций, 
у него далеко не самые большие га- 
бариты и вес. В комплекте поставки 
есть все, что может пригодиться. 

> — минусы. Если ты по какой-то 
причине не любишь пользоваться 
сенсорным экраном, то у тебя могут 
возникнуть проблемы — обычная 
система управления не очень удоб- 
ная, путанная. Файлы открываются 
довольно медленно. 


Время автономной работы 


Archos PMA 430 
Archos Gmini 420 
Archos AV 500 
Epson P 2000 
iRiver PMP-120 
Samsung YH-J70 
Creative Zen Vision 


[100 150 200 


250 


Время автономной работы плеера — количество минут, которые ты сможешь без 
задействования внешней сети смотреть фильмы. Здесь большие (практически в два раза) 
разбросы наверняка вызваны разной емкостью аккумуляторов и аппетитами встроенных 


экранов и винчестеров. 


Аудиодорожки 


Название Баллы 


Archos PMA 430 
Archos Gmini 420 
Archos AV 500 
Epson P 2000 
iRiver PMP-120 
Samsung YH-J70 
Creative Zen Vision 


> выводы. Покрутив плееры в руках, сразу понимаешь, что при прочих 
равных компактность приоритетнее всего. Samsung YH-J70 получает «Луч- 
шую покупку» за малые размеры, длительное время работы, приемлемую 
цену и поддержку всех тестовых видеофайлов. Однако стоит брать его, 
только если ты обладатель мощного компьютера, на котором конвертер бу- 
дет работать быстрее, а не по часу на фильм, как на слабенькой машине, 
участвующей в тесте. 

Archos AV500 обладает большим экраном, пультом, возможностью подклю- 
чения к телевизору, максимальным временем автономной работы и внушитель- 
ным дисковым пространством. То есть на любую вечеринку ты попадаешь со 
своим мультимедиа-центром с многочасовой подборкой видеоприколов, музыки 
и фильмов. За это мы и решили дать Archos AV500 «выбор редакции». 


Test_lab выражает благодарность за предоставленные на тестирование источники 
бесперебойного питания компаниям: ПИРИТ (т.(495) 974-3210, Www-pirit.ru) 


Наверняка не раз возникала такая ситуация, когда при запуске фильма присутствует 
изображение, а звука нет. Вероятность повторения этой неприятности с плеерами так же весьма 
велика. И если на компьютере ты просто ставил недостающий кодек, то здесь придется либо 
перепрошивать медиаплеер, что не всегда возможно, либо перекодировать фильм, что отнимет 
достаточно много времени. Выходом станет приобретение аппарата, поддерживающего 
большинство форматов — здесь больший балл означает лучшую совместимость. 


Однако стоит задуматься и произвести простейшие расчеты. За максималь- 
ное время автономной работы со включенным дисплеем (около 3,5 часа) 


можно посмотреть всего пару фильмов. А они вполне влезут на 2-гигабайт- 
ную флеш-карту (за $150), вставленную в КПК за $300. А по возможностям 
КПК пока на голову превосходят любые медиа-плееры, здорово выигрывая 
у них и в весе. 

Правда, стоит отметить, что качество видео на КПК все же будет ху- 
же, и слабенькие модели не смогут проиграть фильм, сжатый с очень хоро- 
шим качеством — процессор просто надорвется. Так что медиаплеер все- 
таки больше подходит прожженному тусовщику, которому непременно надо 
таскать с собой серьезную коллекцию и просматривать ее в хорошем каче- 
стве, а не тому, кто хочет изредка посмотреть пару фильмов в дороге © 
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ОФФТОПИК 


TEST_LAB 


технические характеристики: 


тихий, но эффективный 


ТЕСТИРУЕМ COOLERMASTER XDREAM K640 [RR-KIFL9E1-GP] 


ПОДДЕРЖИВАЕМЫЕ РАЗЪЕМЫ: Socket 754, 939, 940, AM2 


МАТЕРИАЛ РАДИАТОРА: алюминий + медный сердечник 


СКОРОСТЬ: 800-2800 об/мин 


УРОВЕНЬ ШУМА ПРИ СРЕДНЕЙ НАГРУЗКЕ: 19,5 дб 


ВЕС: 397 г 


РАЗМЕРЫ КУЛЕРА: 90x90x40 мм 


РАЗМЕРЫ ВЕНТИЛЯТОРА: 92х25мм 


РАЗЪЕМ ДЛЯ ПОДКЛЮЧЕНИЯ, КОНТАКТОВ: 3 


МАКСИМАЛЬНАЯ ТЕМПЕРАТУРА С НАГРУЗКОЙ: 66 ° С 


МИНИМАЛЬНАЯ ТЕМПЕРАТУРА БЕЗ НАГРУЗКИ: 54 °С 


Итак, начнем с малого. Попробуем 
разобраться с названием этого холо- 
дильника. Первая часть — ХОгеат, 
наверное, имеется в виду Мечта Х. 
Тот самый кулер, который ты так 
давно искал и хотел заполучить — 
кулер твоей мечты. С этим все хоро- 
шо, но вот что могут значить таин- 
ственные K640? Ни к процессорным 
сокетам, ни к количеству ребер это 
никакого отношения не имеет. Посе- 
му для нас вторая часть в названии 
осталась загадкой. Но не имя кра- 
сит... Данный шедевр инженерной 
мысли предназначен только для 
процессоров AMD, и что самое глав- 
ное, его можно ставить на самые но- 
вые CPU с разъемом АМ2. Произво- 
дитель также утверждает, что его 
творение сможет справиться даже 

с такими горячими парнями как 
FX51. Проверим... 

Ко всему прочему, в описании 
сказано, что уровень шума равен 19,5 
Дб на расстоянии одного метра при 
средней нагрузке. На практике кулер 
оказался действительно очень тихим, 
даже на максимальных оборотах. 

Во внешности CoolerMaster 
ХОгеат K640 нет ничего особенного: 
черный вентилятор и прямоугольный 


алюминиевый радиатор. А вот 

в конструкции есть несколько очень 
интересных особенностей. Во-пер- 
вых, это слегка возвышающийся над 
основанием медный сердечник (чуть 
меньше одного миллиметра), кото- 
рый может соприкасаться только 

с 60% поверхности процессора. 

На наш взгляд, это не лучшим обра- 
зом влияет на охлаждение, но резуль- 
таты теста развеяли наш пессимизм. 

Радиатор в верхней части где- 
то на 1 см шире с каждой из 4-х сто- 
рон. Далее, сами ребра имеют пе- 
рекрестное сечение, то есть от цент- 
ра в четыре стороны под углом в 90 
градусов. Ну и последняя конструк- 
тивная особенность, сейчас уже дос- 
таточно распространенная — по бо- 
кам лопасти вентилятора не ограни- 
чены рамкой. 

На кругляшок медного сердеч- 
ника производителем нанесена тер- 
мопаста белого цвета очень ровным 
и достаточно тонким слоем. Именно 
так ее надо мазать в идеале. 

Памятуя о прошлом неудачном 
опыте установки кулеров, были опа- 
сения изрезать пальцы о ребра в 
процессе крепежа. Но совершенно 
зря: установка этого кулера предель- 


но проста! Ура! Надеемся, это не 
исключение из правил, а закономер- 
ность для всех кулеров этой марки. 
CPU в тестовом стенде был 
очень горячим AMD Athlon64 ЕХ-57, и 
при этом в системе трудились еще 
два X1900XT, что явно не могло не 
нагревать воздух внутри корпуса до 
запредельных температур. В связи с 
этим, мы побоялись тестить все это с 
закрытой боковой крышкой и сняли 
ее. В простое температура оказалась 
равна 54 градусам, что не так мало, 


тестовый стенд: 


но для такого мощного тестового 
стенда нормально. На максимальной 
нагрузке (созданной утилитой S&M) в 
течение 15 минут температура повы- 
силась до 66 и застыла на этой отмет- 
ке. Восторг исключительный! Реаль- 
ный ХОгеат! Тихий и производитель- 
ный. Единственное, что на такой горя- 
чий камень, да еще с двумя Х1900ХТ 
мы бы все-таки не рекомендовали 
ставить его в закрытый корпус. Но во 
всех остальных случаях тебе хватит 
этого тихоходного аппарата за глаза. 


Материнская плата: Asus A8R32-MVP Deluxe 


Процессор: AMD Athlon 64 ЕХ-57 


Видеокарта: 2хАТ! Radeon X1900XT Crossfire 


Память: 2x512 Мб DDR400 Hynix Original 


HDD: wb1600uD, 160 Гб, 7200 об/мин 


от плекстор 


PLEXTOR CONVERTX PX-TV402U 
TEST_LAB 


технические характеристики: 
ТВ-ТЮНЕР: PAL/SECAM 


Audio 


ВИДЕОВХОДЫ: S-Video, RCA 


АУДИОВХОДЫ: RCA (Stereo) 


Т\У-ВХОДы: АР/коаксиальный 


ПО В КОМПЛЕКТЕ: InterVideo WinDVR 5, InterVideo WinDVD Creator 2 


РАЗМЕРЫ: 184x32,4x155 мм 


ВЕС: 500 г 


ЦЕНА: $200 


С твоим зрением все в порядке: это 
видеорекордер, выпущенный под 
маркой Plextor. По сути, это очень 
продвинутое устройство видеозахва- 
та. С обычными СО/О\О-драйвами 
эта штука не имеет ничего общего, 
кроме имени компании производите- 
ля. Оказалось, что это уже второй 
подобный девайс от Р!ехюг. Полное 
название устройства — Plextor 
Personal Video Recorder ConvertX PVR 
PX-TV402U. В комплект поставки вхо- 
дит целая куча различных проводков. 
Есть кабель с блоком питания, состо- 
ящий из двух частей, длинною чуть 
более двух метров. Шнур USB (около 
метра). Имеются также кабели 
2хАСА-2хВСА и RCA-RCA для подк- 
лючения к видео/аудио выходам (оба 
чуть более метра), а также провод $- 
Video-RCA той же длинны. Еще в ко- 
робочке лежат переходник SCART- 
3xRCA, многофункциональный пульт 
ДУ и инфракрасный приемник для не- 
го. Подключение ConvertX PVR осу- 
ществляется проще некуда. Сначала 


надо установить драйверы с диска, 

а потом воткнуть устройство 

в USB-nopT и подать питание. Обе 
программы с диска поставляются 
вместе с серийным ключом и пол- 
ностью русифицированы. Это ПО для 
видеозахвата (InterVideo WinDVR 5), 
редактирования и записи захваченно- 
го видео на диск (InterVideo WinDVD 
Creator 2). Записывать можно как 

на CD, так и Ha DVD. 

Сама коробочка конвертера — 
серебристого цвета с черной перед- 
ней панелью — выглядит элегантно 
и сдержанно. На корпусе два инди- 
катора: Power («питание») и Ready 
to record («готов к записи»). Его лег- 
ко можно будет поставить как 
в строгий классический, так и в сов- 
ременный интерьер в стиле «техно». 

Возможности у Plextor 
ConvertX PX-TV402U действительно 
очень большие. Его можно исполь- 
зовать как ТВ-тюнер, подключив ан- 
тенну напрямую. Получается просто 
и удобно: Plextor смог поймать даже 
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больше каналов, чем домашний 
телевизор марки Sharp. Управлять 
просмотром очень удобно, можно 
одновременно глядеть один канал 
и записывать другой. В окне предп- 
ростомтра (сканирования) каналов 
можно выводить, к примеру, только 
выбранные каналы, которым, к тому 
же, можно вручную дать названия, 
чтобы даже во время рекламы не га- 
дать, что за канал смотришь. Но ка- 
чество изображения все же немного 
хуже, чем при подключении к теле- 
визору через видеоразъемы. 
Подсоединиться можно к лю- 
бому устройству, имеющему компо- 
зитные или ВСА-выходы. Причем 
аудио захватывается в режиме сте- 
рео. Удобна возможность легкого 
переключения между разными вхо- 
дами захвата. Например, включив 
антенну напрямую, а также подсое- 
динившись с помощью тюльпанов 
к видеомагнитофону, а через компо- 
зитный выход еще к чему-нибудь, 


тестовый стенд: 
МАТЕРИНСКАЯ ПЛАТА: Asus P5AD2-E Premium 


между ними можно переключаться 
в два действия. 

При этом во время обычного 
просмотра загрузка процессора сос- 
тавляет около 17%, а во время записи 
на хард от 24 до 30%. Записывать ви- 
део можно в различных форматах: на 
жесткий диск для последующего мон- 
Taka и сразу на DVD или CD в форма- 
тах MPEG 1,2,4, AVI (DivX) и других, 
если в компьютере есть CD/DVD-pe- 
кордер. Разрешение варьируется от 
176х144 до 720х576. Качество захва- 
тываемого звука также регулируется. 

С помощью этого видеоконве- 
рета можно легко и просто перег- 
нать в «цифру» домашний видеоар- 
хив с кассет VHS, которые есть поч- 
ти в любом доме. 

Подводя итог, можно сказать, 
что, как и все обычные рекордеры 
Plextor, ConvertX PX-TV402U высочай- 
шего качества. В данном случае мож- 
но с уверенность сказать, что своих 
немалых денег устройство стоит. 


ПРОЦЕССОР: Intel Pentium 4 505 (2,66 @ 3,2) 


КУЛЕР: Zalman CNPS7700 Cu 


ВИДЕОКАРТА: PowerColor X800GT 256 Mb 


ПАМЯТЬ: 2x512 Мб Corsair PC5400UL 


HDD: WD2000VD, 200 Гб, 7200 об/мин 


Test_lab выражает благодарность за предоставленные Ha тестирование источники 
бесперебойного питания компаниям: ПИРИТ (т.(495) 974-3210, Www-pirit.ru) 
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Xplorer2 v.1.5.0.1 


Xplorer2 — файловый менеджер, чем-то похо- 
жий на стандартный Проводник, но предостав- 
ляющий дополнительные возможности за счет 
своих многочисленных кнопок и панелей. 

К примеру, Xplorer2 имеет не две, а три панели 
просмотра. В первой панели отображается 
древо каталогов, а две другие позволяют 
работать с файлами. Вдобавок, встроенные 
средства этого менеджера позволяют просмат- 
ривать графику, предварительно прослуши- 
вать аудио- и просматривать видеофайлы, 

а также файлы форматов HTML, Text, RTF 

и Нех. Для работы с файлами и директориями 
на локальном РС тут имеются все необходи- 
мые опции (копирование, перемещение, уда- 
ление, поиск, фильтрация, просмотр по задан- 
ным параметрам и т.д.). Оригинальная воз- 
можность Xplorer2 — помещение файлов 

в специальный контейнер (Scrap Conteiner), 
который можно сравнить с виртуальной пап- 
кой. В ней могут храниться файлы, располо- 
женные в разных местах. 

При этом они не перемещают- 
ся в контейнер, а на них прос- 
то создается ссылка. Поддер- 
живается работа с сетевыми 
дисками, причем в подклю- 
ченных сетевых дисках при 
необходимости происходит 
автоматическое обновление 
файлов. Xplorer2 может рабо- 
тать как с отдельно взятыми 

\ файлами, так и с файлами 

в пакетном режиме. 
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Friction Baby 
Подборка лучших программ для копирования и 
записи CD и DVD дисков, которая найдет место 
на твоей флешке и всегда будет рядом! Для за- 
пуска приложений не нужно инсталляции, что 
очень удобно при ежедневной работе на разных 
компьютерах. 
Состав: 

1 ALCOHOL 120 1.9.5.3823 

2 BLINDWRITE 

3 CD-DVD DR 

4 CLONE DVD 2 

5 DEEP BURNER1 

6 DVD REGION + CSS FREE 5.9 

6 MICRO 

7 PORT DVDFAB DECRYPTER 

8 SMALL CD-WRITER 

э SILENTNIGHT MICRO CD BURNER 


Image to Icon 
Converter v1.8 

На портале ппт.ги хорошо pac- 
ходятся иконки, но многих 
смущают их экзотические 
форматы, вроде РМС. Вот 
программка Image to Icon 
Converter, которая конверти- 
рует любые изображения 
(BMP, DIB, GIF, JPG, JPE, JPEG, TIF, TIFF, CPT, 
WMF, EMF, PNG, PCX, JP2, JPC, J2K, TGA, 
RAS) в ICO. 


Remote Installer v1.3.76 

Е Remote Installer — инструмент, позволяю- 
щий инсталлировать и деинсталлировать 
программное обеспечение на удаленных 
компьютерах. 


WinRAR v3.60 beta 4 


Программа умеет создавать ЗЕХ-архивы 
с задаваемым текстом в окне и заголовке 
окна, паролить архивы, создавать много- 
томный архив, использовать «мультиме- 
диа сжатие», с помощью которого можно 
добиться еще большей 
степени сжатия мультиме- 
диа-файлов. WinRar удоб- 
но интегрируется в конте- 
кстное меню и прекрасно 
работает с архивами ZIP, 
CAB, АНУ, LZN, TAR, GZ, 
ACE, UUE, BZ2, JAR, ISO. 


Virtual CloneDrive 5.1.4.5 
Multilingual (Freeware) 
Утилита, предназначенная для создания 
виртуальных дисков из образов, созданных 
программами CloneCD и CloneDVD. 

После инсталляции Virtual CloneDrive и пере- 
загрузки компьютера в системе создается 
виртуальный CD/DVD-ROM, в который 

и вставляются снятые образы. 

При этом ты имеешь возможность 
пользоваться «клонами» 

CD/DVD дисков 
непосредственно 

с винчестера компь- 
ютера, без записи 
дисков на физичес- 
кие CD/DVD. Образы 
добавляются через 
контекстное меню 
созданного виртуаль- 
ного диска. 


ния CloneDrive 


P settings | Language | 4 
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CloneDVD 2.8.9.9 


Опять обновилась одна из лучших программ для клонирова- 
ния О\О-дисков. Интуитивно понятный интерфейс делает 
эту программу привлекательной с точки зрения неискушен- 
ного пользователя. Для того, чтобы сделать клон диска, 
нужно лишь пройти несколько шагов диалога программы... 

Можно скопировать только некоторые части DVD дис- 
ка или сделать точную его копию, с меню навигации, суб- 
титрами, всеми языками перевода. CloneDVD поддерживает 
работу практически со всеми современными О\О-привода- 
ми. Работать с такой програм- 
мой — одно удовольствие как 
продвинутым пользователям, 
так и начинающим. 

В этой версии добавлены 
новые опции, которые помогут 
улучшить качество видеокар- 
тинки, обновились языковые 
интерфейсы, исправлено нес- 
колько ошибок, внесены другие 
положительные изменения. 


Audio Editor 

Gold 8.4.5 

Audio Editor Gold — это отлич- 
ный редактор аудио-файлов, 
который поддерживает все су- 
ществующие форматы. Умеет 
конвертировать музыку из од- 
ного формата в другой, редак- 
тировать теги, обладает отлич- 
ными встроенными эффекта- 
ми ит.д. Имеет простой 

и удобный интерфейс, что, 
несомненно, является плюсом 
для начинающих пользователей. 


AutoRun Pro Enterprise 8.0.0.71 
Мощный визуальный инструмент для создания 
интерфейсов автозагрузочных меню и презентаций 
профессионального уровня для CD/DVD. 

Это самый простой способ создания 
и редактирования таких интерфейсов в среде WYSI- 
WYG (получаешь то, что видишь) — клик, 
перемещение и просмотр результата. Вставка 
рисунков, кнопок, HTML, RTF, текстовых лейблов. 
На каждый объект можно назначить определенное 
действие. Объект может менять свое состояние при 
наведении или нажатии и т.д. Программа легко 
осваивается, присутствуют демонстрации и мастера 
работы с проектами. 
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XoftSpySE 4.26.182 
Программа предназначена для обнаружения и удаления 
Adware, Spyware, Spybots, Malware, Spy Pop-ups, 
Keyloggers, Unwanted Toolbars и других вредоносных 
программ. Она может полностью просканировать опера- 
тивную память и жесткий диск твоего компьютера на 
наличие там шпионского модуля. Громадная, постоянно 
обновляющаяся база данных этой программы 
позволит тебе быть надежно защищенными от вредо- 
носных программ и не потерять свои 
конфиденциальные данные! 


WinTools.NET 
Professional 
7.4.1 

Набор инструментов, 
предназначенный для по- 
вышения производитель- 
ности операционной сис- 
темы MS Windows и под- 
держания производитель- 
ности на высоком уровне 
на протяжение всего 
эксплуатационного перио- 
да. В состав программы 
входят следующие инстру- 
менты: Clean Uninstaller, 
Scan Files, Scan Registry, 
Start Up Manager, 

Tweak UI, Net Tweaker, 
The Privacy. 
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Magic DVD Ripper 
v4.1 Beta 

Мощная утилита для создания копий 
Б\УО-фильмов меньшего размера 


с настраиваемым качеством. Программа 
позволяет конвертировать файлы в форматы 


VCD (МРЕС-1), SVCD (MPEG-2), 
DivX AVI и другие AVI. 


Winamp v5.22 

Вышла новая версия самого 
известного аудиоплеера! (Ведь видео 
им никто не смотрит, надеюсь? :) 
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Zend Studio 
Enterprise 
Edition 5.2.0 
Zend Studio 5 — это ин- 
тегрируемая среда раз- 
работки (IDE), доступная 
для профессионалов, 
которая охватывает 
все компоненты разра- 
ботки необходимых для 
полного применения 

и реализации возмож- 
ностей РНР. Содержит 
максимальный набор 
инструментов разработ- 
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чика для редактирова- 
ния, отладки, анализа, 
оптимизации кода и баз 
данных. 
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НАСТРОЙКА ДОМЕННОЙ ПОЛИТИКИ БЕЗОПАСНОСТИ. 


ЧАСТЬ ТРЕТЬЯ — ЗАКЛЮЧИТЕЛЬНАЯ 


АЛЕКСАНДР ПРИХОДЬКО 


(SANPRIH@MAIL.RU) 


Продолжая тему прошлого модуля, 
хотелось бы обратить внимание на 
возможности управления через 
СРО такими вещами на пользова- 
тельских компьютерах, как сервисы. 
Ты, изучив внимательно некоторые 
полезные ресурсы в интернете, жур- 
налах и мануалах, можешь заме- 
тить, что, при установке, Windows 
ХР запускает целый сонм сервисов, 
которые тебе в повседневной жизни 
не нужны. Таким образом, садишь- 
ся и прикидываешь, какие сервисы 
лишние, и на уровне доменной по- 
литики отключаешь их. Сейчас мы 
проделаем это на примере сервиса 
«Удаленный реестр». Данный пара- 
метр у нас активирован. Для прос- 
мотра запущенных сервисов очень 
удобно пользоваться продуктом 
«ргосехр» фирмы «sysinternals» — 
www:sysinternals.com Данная прога 
позволяет посмотреть описание 
процесса, запущенного на машине. 
Посмотрим это на компе доменного 
пользователя Балаганова (рис. 
Диспетчер задач) 

Мы видим, что служба «Удален- 
ный реестр» запущена и работает. 
Теперь пристрелим ее. На контролле- 
ре домена создаем новый объект 
групповой политики и назовем его 
«Сервисы». Открываем на редакти- 
рование и начинаем издеваться над 
веткой «Сотрщег Сопйдигайоп» -+ 
«Windows Settings» > «Security 
Settings» > «System Services». Haxo- 
дим параметр «Remote Registry», ак- 
тивируем данный параметр простав- 
лением галочки в «Define This policy 
Setting» и отключаем «Удаленный 
реестр» активированием «Disabled». 
Прикручиваем политику «Сервисы» 


на весь домен. Как обычно, перечи- 
тываем политику «gpupdate Логсе». 
Перегружаем машину Балаганова 
и смотрим, что получилось. 

Таким образом, ты можешь 
увеличить производительность всех 
машин домена через применение 
СРО. Еще немного о применении 
СРО: если ты будешь разворачи- 
вать систему обновлений операци- 
онных систем и других приложений 
от Microsoft в домене, то GPO 
и здесь спасет отца русской де- 
мократии. Разворачиваешь где-ни- 
будь WSUS, настраиваешь его на 
закачку апдейтов, а через GPO 
настраиваешь обновления на всех 
клиентских машинах: СРО «Серви- 
сы» + «Computer Configuration» > 
«Administrative Templates» > 
«Windows Components» —> «Windows 
Update». Да, еще рекомендуется 
настроить аудит на файлы, располо- 
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Позволяет разлемным пользователем измемать параметры рефстра на 
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женные на сетевых ресурсах. Если 
какой-либо юзер удалит чужой 
файл на сетевом ресурсе, ты всегда 
сможешь найти, кто это сделал, 
и сдать его хозяину файла. А про- 
цесс разборки можно снять на ви- 
део и выложить в сеть для всеобще- 
го обозрения. За аудит отвечает 
ветка GPO «Computer Configuration» 
— «Windows Settings» — «Security 
Settings» — «Local policies» > «Audit 
Policy» + «Audit object access». 
Отмечаем «Success» и «Failure». 
Теперь для включения аудита 
осталось сделать следующее: правая 
кнопка мыши на сетевом ресурсе 
(расшаренной папке), «Properties» > 
«Security» > «Advanced» > заклад- 
ка «Auditing» - кнопка «Add» - 
и выбираем «Domain Users». Откры- 
вается окно свойств аудита. 
Отмечаем указанные на рисун- 
ке «Свойства аудита» чекбоксы. Ау- 
дит настроен. Теперь проверим, как 
он работает. Пользователем «Бен- 
дер» на диске «Обмен» создадим 
текстовый файл и удалим его под 


пользователем «Балаганов». Для 
контроля над процессом используем 
на контроллере домена «Event 
Viewer». Легко видеть, как Бендер 
создал свой файл, а Балаганов уда- 
лил чужой документ. 

Теперь ты всегда можешь ска- 
зать пользователю, кто именно снес 
его годовой отчет, который он по 
ошибке выложил в папку «Обмен». 
Кстати, политику аудита настраивай 
на «Default Domain Policy». 

И еще: для быстрого поиска нужных 
тебе событий в «Event Viewer» мож- 
но пользоваться фильтрами. Напри- 
мер, для поиска нужных событий по 
созданию-удалению файлов делаем 
следующее: правая кнопка мыши 
на ветке «Security» > «View» > 
«Filter». Далее в «Event Source» выби- 
раем «Security», а в категории — 
«Object Access». Теперь ты увидишь 
только события, относящиеся 

к нужной тебе тематике. 

Используй для просмотра 
фильтры, и тогда твои глаза никогда 
не устанут. 
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Ba Служба загружи изображений (WIA) 
Bo Служба индексирования 

Ry Служба сетевого DOE 

Ba Служба шлюза уровма приложения 
$$ Снарт-карты 
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Оказыва... Вручную Локальная cn, 
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>  разворачиваем антивирусную 
защиту. Прежде, чем приступить 

к описанию построения защиты, 
хотелось бы сразу отметить, 
почему выбраны именно продукты 
от Лаборатории Касперского. 

Как обычно, отбрасывая религиоз- 
ную составляющую, в определении 
продуктов оставим только 
функциональность и экономическую 
составляющую. 

Посчитаем стоимость антиви- 
русного ПО для сети из трех серве- 
ров и сорока клиентских машин. 
Почтовый сервер не считаем. 


1 KASPERSKY ANTI-VIRUS 
BUSINESS OPTIMAL SUITE 
RUSSIAN EDITION. 

40 WORKSTATION 1 YEAR 
BASE LICENCE — 740 У.Е. 


2 KASPERSKY ANTI-VIRUS 
BUSINESS OPTIMAL FOR 
WINDOWS RUSSIAN EDITION. 


3 FILESERVER 1 YEAR BASE 
LICENCE — 956 У.Е. 


Итого: для Касперского Антивируса 
нужно — 1700 у.е. 


посчитаем продукт от Symantec: 
1 SYMANTEC ANTIVIRUS 10.0 
WITH GROUPWARE 
PROTECTION BUSINESS 
PACK 25 USER IN GOLD 
MAINTENANCE 1YEAR RNW 
VALUE BAND $ — 1689 У.Е. 


2 SYMANTEC ANTIVIRUS 10.0 
WITH GROUPWARE 
PROTECTION BUSINESS 
PACK 10 USER IN GOLD 
MAINTENANCE 1YEAR RNW 
VALUE BAND $ — 784 У.Е. 


3 SYMANTEC ANTIVIRUS 10.0 
WITH GROUPWARE 
PROTECTION BUSINESS 
PACK 5 USER IN GOLD 
MAINTENANCE 1YEAR RNW 
VALUE BAND S — 421 Y.E. 


Итого: 2894 у.е. Данные с сайта 


www.symantec.com/small_business/products , 


теперь посмотрим Ha TrendMicro: 
1ENTERPRISE EDITION 

SUITE CLIENT SERVER SUITE 
ENTERPRISE EDITION 40 
USERS — 2229 У.Е. 


Антивирус NOD32 Enterprise Edition 
newsale for 40 User — 1340 y.e. 


1АНТИВИРУС DR.WEB ДЛЯ 
WINDOWS 95-ХР, 

НА 12 МЕСЯЦЕВ 36..40 ПК 
(ДЛЯ КОНЕЧНОГО 
ПОЛЬЗОВАТЕЛЯ ЗА 1 MK ) — 
830 У.Е. 


2 АНТИВИРУС DR.WEB ДЛЯ 
ФАЙЛОВЫХ СЕРВЕРОВ, 
НА 12 МЕСЯЦЕВ 3 ПК 

(ЗА 1 СЕРВЕР 


File Action Yiew Help 


e | 


a aw Computer Configuration 
{Г Software Settings 
=|) Windows Settings 

[©] Scripts (Startup/Shu 

|= Security Settings 
Accaunt Policies 
: Local Policies 

Audit Policy 

User Rights 

Security Opt 


[m| х Fie | 2 


S$ Сервисы [xak.xakdomain.org] Fa 


(2) Audit account logon events 
[Re] Audit account management 
[Rs] Audit directory service access 


82] Audit policy change 
(fe) Audit privilege use 
[fi] Audit process tracking 
[В Audit system events 


Not Defined 
Not Defined 
Not Defined 
Not Defined 


Not Defined 
Not Defined 
Not Defined 
Nat Defined 


ДЛЯ КОНЕЧНОГО 
ПОЛЬЗОВАТЕЛЯ ) — 
1125 У.Е. 


Итого: Для Dr. WEB нужно 1955 у.е. 

Все, больше искать инфу 
по антивирусам не буду. Если поку- 
пать лицензионный софт, то выхо- 
дит, что продукты Лаборатории Кас- 
перского дешевле. Займемся разво- 
рачиванием Kaspersky Anti-Virus 
Business Optimal. 

Считаем, что ключик у тебя 
в кармане и на сервер, и на клиен- 
тские машины. Если коробки с соф- 
том у тебя нет, то качаем следую- 
щие модули: www.kaspersky.ru/productup- 
dates, На этой странице выбираем 
«Антивирус Касперского Business 
Optimal» и на открывшейся странич- 
ке выбираем «Антивирус Касперско- 
го для Widows Workstations», «Анти- 
вирус Касперского для Widows Files 
Servers», «Kaspersky Administration 
Kit». С сайта www.microsoft.com легко 
качаем бесплатный Microsoft SQL 
Server, из последних. Вот что по 
поводу SQL-cepBepa пишет Лабо- 
ратория Касперского: 

«При установке «Сервера 
администрирования» должны 
быть непременно выполнены сле- 
дующие системные требования: 
операционные системы: Microsoft 
Windows МТ Server / Workstation 
4.0 SP ба и выше; Microsoft 
Windows 2000 Server / Professional 
SP1 и выше; Microsoft Windows XP 
Professional / Home $Р1 и выше; 
Microsoft Windows Server 2003. 

Сервер баз данных (может 
быть установлен на другой машине): 
Microsoft SQL Server 2005; Microsoft 
SQL Server 2000 SP 3 и выше; 
Microsoft SQL Server 2000 Desktop 
Engine (MSDE) SP 3 и выше (дистри- 
бутив MSDE 2000 SP3 входит 
в комплект поставки Kaspersky 
Administration КИ и может быть уста- 
новлен непосредственно с компакт 
диска Kaspersky Administration Kit)». 

Теперь у тебя есть все необхо- 
димое для разворачивания антиви- 
русной защиты. На своем самом лю- 
бимом сервере, самом надежном 


(контроллере домена), развернем 
сначала «Microsoft SQL Server». 

Он будет держать базу пользовате- 
лей. При установке «Microsoft SQL 
Server» везде просто нажимаем 
«Next» и ставим его со всеми пара- 
метрами по умолчанию. После уста- 
новки перегрузим сервер, для того, 
чтобы сервис запустился. 

Теперь установим «Антивирус 
Касперского для Widows Files 
Servers». Чтобы не было путаницы, 
сначала разберемся в назначении 
всех программ. 

«Kaspersky Administration Kit» — 
это средство управления сетью ан- 
тивирусной защиты. «Kaspersky 
Administration КИ» может быть уста- 
новлен на любой машине сети 


и просто подключаться к Серверу 
администрирования. Сервер адми- 
нистрирования — это оболочка, ко- 
торая и создает виртуальную сеть 
антивирусной защиты. Microsoft SQL 
Server — это хранилище базы дан- 
ных сети антивирусной защиты. 

Так как мы разворачиваем 
антивирусную защиту на сервере 
(контроллере домена), то получает- 
ся, что на контроллере домена мы 
установим следующие приложения: 
«Microsoft SQL Server», «Антивирус 
Касперского для Widows Files 


Свойства аудита 
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Write Attributes 
Write Extended Attributes 


= ВИ: Permissions 
Change Permissions 


Traverse Folder / Execute File 
List Folder г Read Data 

Read Attributes 

Read Extended Attributes 


Г Apply these auditing entries to objects 
and/or containers within this container only 
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Apply onto: [This folder, subfolders and files "| 
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=| 
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Servers» — антивирусная защита 
конкретной машины (контроллера 
домена), «Kaspersky Administration 
Kit» — средство управления анти- 
вирусной сетевой защитой, «Сер- 
вер Администрирования» — 
собственно, средство контроля за 
сетью. Устанавливаем «Антивирус 
Касперского для Widows Files 
Servers». Никаких сложностей с ус- 
тановкой нет, в нужный момент 
подсовываем лицензионный ключ. 
После установки даже не требуется 
перезагрузка компьютера. Первая 
особенность антивируса для операци- 
онной системы «Windows Server» — 
нет никаких графических оболочек 
для управления антивирусом. Те- 
перь, чтобы контролировать состоя- 
ние сервера, необходимо устано- 
вить «Kaspersky Administration Kit». 
Вот первая особенность: так как мы 
разворачиваем «Админкит» на 
контроллере домена, где предпола- 
гается держать всю сеть, устанав- 
ливаем оба компонента. 

На странице «Свойства Серве- 
ра Администрирования» отмечаем 
«Учетная запись системы» и затем 
везде давим кнопку «Далее». После 
установки запускаем «Kaspersky 
Administration Kit». 

Нажимаем на плюсик напротив 
«Сервер Администрирования — local- 
host». Разворачиваются настройки 
«Сервера Администрирования». 

При первом запуске «Админки- 
та» он предложит сформировать 
сеть администрирования на основе 
данных сети. Можно согласиться 
с этим, потом, если не понравится, 
поправим. Теперь, чтобы увидеть 
нашу сеть, нужно просто наступить 
на папочку «Группы». Мы получили 
всю нашу сеть. 

Также хочу сказать следую- 
щее: управлять антивирусной сетью 
можно с любого компьютера сети. 
Для этого необходимо установить 
«Админкит», не устанавливая 
«Сервер администрирования». Те- 
перь, для подключения к «Серверу 
Администрирования» необходимо в 


№ Kaspersky Administration Kit 


|5) 3 Сервер администрирования - localhost 
Е-[ Состояние защиты 
[3 сеть 
[3 Группы администрирования 
[Я Антивирусная статистика 
[Я Обновления 
Eby Сеть: Домены 
fe ХАКООМАМ 
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4 Групповые задачи 
Серверы администрирования 
{©} обновления 
{№8} удаленная установка 


{©} отчеты 


{&) Выборки компьютеров 


События 
Sj Глобальные задачи 


Лицензионные ключи 


(Ga Карантин 
GD Локальный компьютер 


@ O:\CorporateSuite 


Ее Edit View Favorites Tools 


Address 


(Docs 
keys 
(temp 


ЕЯ казр5.0.11 
EM kasps.0.11 


BM kav5.0.72_ 
В кач5.0,527 


2 педе2корз! 


Выбор компонентов 
Выбор компонентов приложения для установки. 


7] Сервер администри 
tn 2 Консоль администрирования 


Программа установки - Kaspersky Administration Kit 


Выберите только те компоненты, которые необходимо установить. 


рования 


Microsoft SQL Server или 
Mictosoft Data Engine. 


Установка «Админкита» 


Подключение к серверу 
администрирования 


параметрах указать имя сервера 
(ero р-адрес) и знать учетную за- 
пись входа на сервер. 

Теперь мы готовы настроить 
нашу антивирусную защиту на уров- 
не компании. В следующий раз мы 
разберем, как автоматом развора- 
чивать антивирусную защиту на ра- 
бочих станциях, не вставая с люби- 
мого кресла. Подробно рассмотрим 
назначение политик и задач. И ты 
начнешь жить спокойно, а вирусы 
жить перестанут © 


Сеть администрирования 


Вид компьютеров сети 


Управление группами Имя_^ 
администрирования политики 


(33 Сервер администрирования (“| Групповые зада 

Е] добавить группу =A серверы an 
\JBBALAGANOY 

Е] добзвить компьютеры 


`ЗРВЕМОЕВ, 
Gy Управлять групповыми \QBKOZLEVICH 
задачами 


‘SE LvarKIN 
> Управлять групповыми `ОВРЕТВОУ 
политиками 


\2PuPKIN 
5 Управлять подчиненными 


\2stporov 
Серверами EP TvaPKIN 


администрирования Bxax 
12, Найти компьютер 


а Установить приложение на 
все компьютеры группы 


Е] добавить шаблон отчета 


6 Управлять правилами 
перемещения компьютеров 


6 Настроить права доступа к 
группе 


$ Просмотреть параметры 
группы р 


Обновить vial | 


приложениями 
Пораметры подключения 


Aapec серверах 


Administration Kit 
Сервер администрирования - localhost 
af Состояние защиты 

Г ify Сеть 

-[Я Группы администрирования 
-[Я Антивирусная статистика 


Kaspersky Адтт 


Управление приложения 
Лаборатории Касперског 


Добавить Сервер 
администрирования 


#27 Справка 


gf Сеть: Домены 
| longi XAKDOMAIN 
aS Группы 
ii Политики 
Групповые задачи 
Серверы администрирования 
@ Обновления 
{№} Удаленная установка 
8 Отчеты 
{= Выборки компьютеров 

События 

Глобальные задачи 

\ Лицензионные ключи 


„АЗ Локальный компьютер 


анкета 


ЕСЛИ ТЫ ХОЧЕШЬ ПОМОЧЬ НАМ ДЕЛАТЬ ЖУРНАЛ, ВСТУПАИ 

В ФОКУС-ГРУППУ СПЕЦА! УЧАСТНИКИ ФОКУС-ГРУППЫ СМОГУТ 
ПЕРВЫМИ ОЦЕНИТЬ ПРЕДСТОЯЩИЕ НОВОВВЕДЕНИЯ, ВЫСКАЗЫВАТЬ 
СВОЕ МНЕНИЕ О КАЖДОМ НОМЕРЕ НАПРЯМУЮ РЕДАКЦИИ. ОТ ТЕБЯ 
ТРЕБУЕТСЯ НЕМНОГО: БЫТЬ В ОНЛАИНЕ, ПЕРИОДИЧЕСКИ ОТВЕЧАТЬ 


НА ВОПРОСЫ РЕДАКЦИИ И, САМОЕ ГЛАВНОЕ, ЖЕЛАНИЕ. ЧТОБЫ 
ПОПАСТЬ В ФОКУС-ГРУППУ, НУЖНО ВСЕГО ЛИШЬ ЗАПОЛНИТЬ 
ЭТУ АНКЕТУ И ПРИСЛАТЬ EE НАМ. ЕСЛИ ТЫ НЕ ХОЧЕШЬ БЫТЬ 

В ТЕСТ-ГРУППЕ, ВСЕ РАВНО ПРИШЛИ АНКЕТУ — 


НАМ ЭТО ОЧЕНЬ ВАЖНО! 


Заполненную анкету присылай по адресу: 


101000, Москва, Главпочтампт, а/я 654, Хакер Спец, 


с пометкой «Анкета» или на vote@real.xakep.ru. 


Давно ли ты читаешь «Хакер Спец»? 

О с первых номеров 

О около года 

о несколько последних номеров 

О первый раз 

Как ты считаешь, изменился Ли «Хакер Спец» за 
последнее время? 

О да, улучшился 

О да, ухудшился 

О нет, по-моему, не изменился 


Какой из последних номеров тебе понравился 
больше всего? 


Понравился ли тебе новый дизайн Спеца? 
О да 

О нет 

О He обращаю внимания на дизайн 
Хотелось бы тебе новых рубрик в ОФФТОПИКе? 
О да 

О нет 

Достаточно ли объемна ТЕМА НОМЕРА? 
О Вполне 

О Ee нужно увеличить 

О Слишком большая 

Какие журналы ты читаешь, кроме Спеца? 


Upgrade 
Мир ПК 
Upgrade Special 
Другой(ие) 


Какой оптический привод в твоем компьютере? 
© CD-ROM/CD-RW 

© Combo CD-RW/DVD-ROM 

© DVD-ROM/DVD-RW 

Часто ли ты бываешь Ha Xakep.ru? 

О Постоянно 

О Иногда 


© 10.05(59) — Мобильный взлом Хакер © Очень редко 
О 11.05(60) — Скрытая угроза СНР © Никогда не был 
О 12.05(61) — Электронные деньги CHIP Special Предложи тему для очередного номера: 
© 01.06(62) — Backup Компьютерра 
О нет Basic/VB 
O се = O a He работаю Perl 
Твой средний месячный доход? другое 


ФИО 


Где ты живешь 
E-mail 
Сколько тебе лет 


О меньше 17 

О 18-20 

О 21-23 

О 24-27 

© 28-30 

О 30-33 

О больше 33 

Твое семейное положение 

О холост 

О женат 

В каком вузе ты учишься (учился) 
О техническом 

О гуманитарном 

О a He учусь в вузе 

Связана ли твоя работа с ИТ? 
О да 

О да — планирую работать в ИТ 


О меньше $100 


я не программер 


О $100-300 С какими платформами у тебя есть опыт работы? 
О $300-700 РС (Windows) 
О больше $700 *nix (Unix, Linux, BSD) 
Сможешь ли ты сам собрать компьютер? acintosh 
О с закрытыми глазами Palm OS 
О по книжке Pocket PC (Windows СЕ) 
О сомневаюсь EPOC/Symbian 
Какой у тебя канал в интернет? другое 
О выделенка Какие из перечисленных вещей у тебя есть? 
О dial-up DVD-nneep 
О нет интернета DVD-ROM 
Чем ты пользуешься для общения в Сети? P3-nneep 
e-mail ноутбук 
чаты домашний кинотеатр 
ICQ и другие мессенджеры мобильный телефон 
другое КПК (коммуникатор) 
На каком языке ты пишешь? цифровой фотоаппарат 
Assembler цифровая видеокамера 
C/C++ СР5$-навигатор 
Pascal/Delphi Да, я хочу в фокус-группу! 


ОФФТОПИК 


crew 


ПИШИТЕ ПИСЬМА! SPEC@REAL.XAKEP.RU 
SKYWRITER 


fox910@mail.ru 


хороший дефрагментор 


Здравствуйте, редакция спец-хакера. 
В февральском номере была такая статья «Беспощадное повышение рабо- 
тоспособности NTFS». (Не удивляйтесь, что вопрос АЖ про февральский 
выпуск, просто читаю электронную версию :)). 
В этой статье безжалостные оптимизаторы NTFS лихо расписывали преи- 
мущества программы «ПОЛНАЯ ВЕРСИЯ дефрагментатора», посылая стан- 
дартную в топку. 

Дак что это за программа такая — «ПОЛНОВЕРСИОННЫЙ дефраг- 
ментатор»? Где можно взять такую чудо-прогу, дефрагментирующую 
все подряд? И как она называется? 


Вот она, истинная суть! 

Так находят предателей в нашем лагере. Мы стараемся, ищем 
качественных авторов, готовим материал, избавляем его от багов 
(по возможности, конечно), а некоторые товарищи даже отказыва- 
ются его приобретать! Хотят пользоваться благами на халяву. 

А ведь учитывая цену трафика (0,12$ за 1 M6), стоимость скачанно- 
го РОЕ-файла приблизительно равна стоимости журнала! И как те- 
перь мне, одолеваемому двойственными чувствами, ответить 

на вопросы такого человека? Это же ведь Иуда! Хуже — Брут 

(не путать с брутто и нетто), практически. Предатель! Причем столь 
же безжалостный, сколь безжалостны дефрагментаторы NTFS. 
Которые дефрагментируют свой диск, например, известной прог- 
раммой Disk Keeper, взяв ее, например, с сайта производителя. 
Стыдно, товарищ. Стыдно должно быть. 


@ zombie80@yandex.ru 

объявление 

Перцы Челябинска! Ты хакер? Ты хочешь им стать? Тогда пиши, 
пол и возраст значения не имеют! Давай учиться вместе. 
Мылить на: хотЫе80 @ уапаех.ги 


Да-да-да! Всегда приятно получать такие письма. Иногда ожидаешь 
их месяцами. И тем слаще оказывается приход:). 

Сразу видно, человек — наш коллега по цеху. Хочет распрост- 
ранить такое известное явление, как хакерство, в массы. И начал 
он это делать самым что ни на есть хакерским способом — путем 


спама! Причем, почтовый адрес человека сразу заставляет вспом- 
нить известного деятеля группы 29А и задуматься, а уж не он ли 
замышляет организовать новую команду настоящих хэккеров 

(так это слово было написано в одной старинной советской книге 
про программистов)?! И такому человеку, не тая, отвечу я — 

да, да, хочу стать хакером я! 


azilan@mail.ru 
Виктор Азовский 
помощь 


Отошлите мне что-нибудь, я настраиваю почтовый ящик!!! 
Ответьте взаимностью! 


Отправь слово «2$» на номер 1234 и потрать два бакса. 

АХ, да, кстати, еще тебе может ответить взаимностью очарователь- 

ная пышногрудая блондинка. Но это если повезет, а везет редко. 
Мы же (редакция) отвечаем взаимностью всем Вам! Даже ког- 

да вы, милые читатели, в столь безвыходном положении, как пишу- 

щий нам Виктор. Даже в этой ситуации мы поможем — ответим вза- 

имностью, ящик Виктора обязательно заработает, и да пребудет 

мир во всем мире! 

P.S. Отослали Виктору троянца. 


marilynmanson48@mail.ru 
bodya sipolonov 
помогите разогнать 3 pentium 


У меня древний pentium 3 866 Mhz. Мне ero уже He хватает, 

а я страшный геймер, который хочет играть. Выходит много игр, 

ая не могу в них поиграть, потому что они жутко тормозят. Мне хотелось 
бы немного его разогнать. Хотя бы до 1000 Mhz. Помогите, пожалуйста, 
очень прошу. Вот параметры моего компа: Intel Pentium(r) 3 866, 512 МВ 
ОЗУ (оперативка RAM), GeForce 6 6200 128mb, тип шины: AGP 2Х. 
Заранее огромное спасибо! 


Бодя? Так, кажется, тебя зовут? В общем, здравствуй, Боди (даже 
неловко как-то так тебя называть...) 

Пентиум твой и правда древний, впрочем, не древнее моего 
Pentium ПИ 350 MHz. Но не это главное. Главное, что, я абсолютно 
уверен, геймер ты не страшный, а очень даже симпатичный — 
не стоит комплексовать по этому поводу. Даже с учетом того, 
что геймер очень хочет играть. Но на этом хорошие новости закан- 


чиваются, и начинается сплошной «отстой». Понимаешь, дело 

в том, что, даже если ты разгонишь свой РИ до 1000 и 1 МГц, 

это не сильно скажется на производительности в целом, 

а особенно — игр. Видишь ли, игры требовательны в основном 

к графической подсистеме, а она у тебя, как сам видишь, убога — 
2X во времена PCI-E считаю непозволительным отставанием. Так 
что, лечи материнскую и видео-платы, а процессор не мучай — 

он и без тебя перегреется в жаркие летние деньки. 

Заранее огромное не за что. 


suv_iamm@mail.ru 
Serghey Suvorov 
RAID, Intel Matrix Storage 


Коллеги, сами мы He местные, помогите, кто чем может! 
У меня на плате ASUS P5GD1 Pro стоит Int.Matr.Storage контроллер. 
Два физических диска разбиты на С: (RAID 1) и 0: (RAID 0). С: управляется 
контроллером и драйверами, О: — только драйверами. Как и чем провести 
полный backup системы? 
Пока я вижу только один (неважнецкий) вариант. Проводится 
Windows-backup диска С:, после чего этот файл и диск О: сбрасываются 
в О\/О-архив. 
После краха системы устанавливаю Винду под ВАШ 1 на С:, готовлю 
RAID 0 Ha D:. Затем на О: сбрасываю архивы и из Backup.bkf, восстанавли- 
Bato старую Windows с опцией «заменять все файлы». Плохо то, что ВСЕ 
все равно не заменятся, и пролетят мои многочисленные обновления и т.п. 
Не подскажете ли что-нибудь получше? (НЕ в порядке лести: читаю 
кучу комп. журналов, но лучше вашего ничего нет). 
Ваш Сергей. Донецк, Украина. 


Спасибо, Сергей, на добром слове. Не в порядке лести, но мы очень 
польщены. Что же до сути письма, то, честно говоря, прежде, 
чем вник, прочитал его 3-4 раза. И скажу сразу — ты молодец! 
Не много людей сейчас тратят денежки на настоящий RAIDO. Преж- 
де всего экономят на жестаках, а ты — не экономишь, и это радует. 
Родные документы важнее. 

Что до схемы создания резервной копии, то мне видится 
все гораздо проще (все упоминания OC Windows подразумевают 
версию ХР): 


1 ПРИ ПОМОЩИ УТИЛИТ РЕЗЕРВИРОВАНИЯ HDD 

(А-ЛЯ NORTON GHOST) СОХРАНЯЕШЬ ДИСК С: С ВИНДОЙ 
(ЗАГРУЗИВШИСЬ С ДИСКА ЭТОЙ ПРОГРАММЫ 
РЕЗЕРВИРОВАНИЯ, ИБО ЭТО ЕДВА ЛИ НЕ ЕДИНСТВЕННЫЙ 
СПОСОБ ЗАБЭКАПИТЬ ВСЮ ВИНДУ; РАБОЧУЮ КОПИЮ 
WINDOWS ОЧЕНЬ СЛОЖНО ПРОЧИТАТЬ ЦЕЛИКОМ С ЖЕСТАКА, 
А ЕЩЕ СЛОЖНЕЕ ЗАМЕНЯТЬ ВСЕ ФАЙЛЫ ПРИ 
ВОССТАНОВЛЕНИИ — РЕЕСТР ТЕБЕ НЕ ЗАМЕНИТЬ 

НА РАБОТАЮЩЕЙ ВИНДЕ НИКОГДА, 

РАВНО КАК И НЕ ПРОЧИТАТЬ). 


2 ПОТОМ ПРОГРАММОЙ WINDOWS BACKUP 
РЕЗЕРВИРУЕШЬ ВСЕ ОСТАЛЬНОЕ (ДИСК D:). 


После всего этого возникает резонный вопрос: зачем бэкапить 
Винду целиком? Почему бы не резервировать только свои файлы? 
Серьезно сэкономишь на носителях. 

А что до обновлений, которые ты можешь потерять — тешь 
себя мыслью, что ты теряешь только обновления. 
Ваши Спецы. Москва, Россия. 


fillbill@rambler.ru 


суперагентЕ В 
Тема не указана 


Здравствуйте!!! 

У меня компьютер Pentium2 300 МГц, материнская плата 

Lucky Star 6LX2\6EX2 ver 1.1. Какой максимальный объем оперативной 
памяти SDRAM можно использовать для работы с этим процессором 
(на этой материнской плате)? Если можно, пришлите мне, пожалуйста, 


ответ Ha e-mail: FillBill@rambler.ru 


Привет, суперагент Билл. 

Тут уже шла речь об антиквариате, и в этом смысле я, наверное, 
повторюсь. Очень (ну, очень) советую потратить $$$ не на покупку 
ЗОВАМ, а на покупку нового компа. Положа руку на сердце, скажу, 
что производительность от этого вырастет, как говорят наши зару- 
бежные коллеги, драматически. А если данная информация просто 
является предметом споров, то отошлю тебя прямиком к документа- 
ции к твоей материнской плате. Знаешь, к каждой М/В дается такая 
книжечка. Так вот, там написано, сколько и какой памяти способна 
принять каждая из них на борт. От себя же скажу, что для чипсетов 
LX обычным значением было 2 или 4 Гб. 

Ответ присылаем тебе свежим номером прямо в киоск Союзпечати. 


103 | 


fillbill@rambler.ru 


суперагентЕ ИВ! 


Здравствуйте!!! 

Переустановил Windows2000. На С-диске (объем 2 ГБ) была файловая 

система NTFS, на остальных локальных дисках была файловая система 

FAT32 (объем D — ЗГБ, Е — 8ГБ, Е — 8ГБ, G — 9ГБ). Для работы с файла- 

ми больше 4 Гб захотел сделать на всех дисках файловую систему NTFS. 
Только собрался форматировать О-диск, вдруг вспомнил, что на нем 

остались незабэкапенные важные файлы. Перед этим сделал О-диск 

и Е-диск неразмеченными для переназначения их размеров. Уменьшил 

объем D до 2 ГБ, а объем Е увеличил до 9 ГБ. Оставив их неразмеченными, 

доустановил Windows2000 и начал работу. После установки уже через 

операционную систему произвел форматирование Е-диска. После этого ус- 

тановил программу Partition Magic 8.0, чтобы попробовать восстановить дан- 

ные, с ее помощью объединил два логических диска D и Е в один, 

сделав О-диск каталогом Е-диска. Но после данной операции папка с быв- 

шим О-диском так и осталась пустой. Можно ли как-то мне еще восстано- 

вить данные? Если можно пришлите мне, пожалуйста, ответ 

на e-mail: FillBill@rambler.ru 


Суперагент! Снова ты! Будто старого знакомого встречаю! Очень 
рад тебя видеть, слышать, читать. 

Честно говоря, увидев второе письмо, мы сразу были весьма 
и весьма польщены... Столько доверия. В общем, тов. Аваланч 
(он же главный редактор нетленного сего издания) теперь назначен 
твоим личным консультантом по техническим вопросам — если что, 
обращайся напрямую к нему, он всегда рад помочь. 

А пока вопрос от меня: может ли быть на жестком диске больше 
24 логических? А если может, то как называется тот, что после «Z:»? 
Ждем от тебя ответа со снимком экрана в качестве доказательства. 

P.S. Данные ты свои потерял, ибо многократно перезаписал 
таблицу разделов прежде чем слил диски. И максимум, чего бы ты 
мог достичь, это при помощи программы DiskEdit выковырять хоть 
какие-то самые важные данные. Впрочем, все это справедливо ровно 
до того момента, как ты записал что-то на свежесозданные диски... 


ZXZ-Zxz@mail.ru 
Вася Пупкин 
Hello!!! 


Alle!!! 
Вы, ребята, конечно, молодцы, и журнал у вас — просто отпад, но ответьте 
мне на один вопрос: почему у вас сайт так долго грузится? 

Я, конечно, понимаю, что у вас один сайт на два журнала, но это, сор- 
ри, не повод... То, что на нем загружается все сразу, конечно, хорошо, 
но не у всех ведь выделенка стоит! Улавливайте нужды народа:). 
Ведь для кого-то лучше загрузить материал по частям, чтобы иметь воз- 
можность посмотреть хоть что-то, чем уйти с сайта, так и не дождавшись 
5-минутной загрузки. Решайте вопрос, перцы:). GOOD LUCK!! 


Василий! Прости дураков грешных! Говорил я Веб-мастеру, 
что не стоит делать сайт в виде несжатого интерактивного АМ!-фай- 
ла. Говорил ему, MON, он и на выделенке-то подтормаживает. 
Все равно не послушал он меня. Сделал. И вот результат. 

Так что не переживай, видео убрали, теперь все должно гру- 
зиться просто мигом! © 


ОФФТОПИК 


siory 


Ha далекой пангее 


БОМБАРДИРОВЩИК ЗАХОДИЛ НА ЦЕЛЬ УЖЕ В ЧЕТВЕРТЫЙ 
РАЗ. ЛЕ РОЙ ПРОВОДИЛ ЕГО ВЗГЛЯДОМ ИЗ-ПОД ЛАДОНИ, 
ВОТКНУВ ЛОПАТУ В ЗЕМЛЮ 


СРАЗУ НЕ СКАЗАЛ 
НАМ 0 ТОМ, ЧТО 
МЫ РАБОТАЕМ 


in 


сволочь, 


МОЛЧАЛ?! МЫ 
СХВАТИЛИ УЖЕ 


(NIRO@REAL. 


XAKEP.RU) 


— Когда же это кончится... — процедил он сквозь зубы, глядя на жужжа- 
щий высоко в небе крестик. — Там, наверное, уже ничего не осталось. 
Вчера самолеты посетили это место шесть раз. Бомбы сыпа- 
лись густо, с противным свистом, и хотя до цели отсюда было около 
двух километров, надсадный вой — сначала падения, а потом разры- 
вов — не давал спокойно работать ни Ле Рою, ни четверым его на- 
парникам. Вот и сейчас — едва Ле Рой услышал гул моторов первого 
самолета, из туч над их головами вынырнули еще пять машин; совер- 
шив маневр, они выстроились зигзагом и открыли бомболюки. 
Черные точки, поначалу летевшие рядом с самолетами, быстро 
теряли скорость и по дуге ныряли вниз. 
— Ветер в нашу сторону, — сказал Педро. — Через полчаса нечем 
будет дышать. 
Ле Рой согласно кивнул. Остальные молча достали респирато- 
ры и нацепили на лица, сразу став похожими на бульдогов с синими 
мордами. Гул взрывов доле- 
тел до них спустя некоторое 
П 04 EMY ТЫ время — Ле Рой сделал нехи- 
трые вычисления и решил, 
что цель не изменилась. 
Те же самые два километра. 
— Интересно, что там... — за- 
думчиво спросил сам у себя 
Киринаикос. — Вчера шесть, 
сегодня четыре. Город? 
; — Ha такой равнине, грек, 
ОИ мы бы увидели город еще 


ТЕ р р “7 р И И! j пять дней назад, — взявшись 


за лопату и не оборачиваясь, 
ответил Ле Рой. — Нет, там 
что-то другое... 

— Города бывают разные, — 
ответил Киринаикос. — Там, 
откуда я родом... 

— Заткнись, — угрюмо бро- 
сил Педро, достав из кармана 
маленький напильник. — 

Мы все откуда-нибудь родом. 
Копай! 

Сам он несколько раз 
провел по острию лопаты 
напильником с противным 
скрежетом; все остальные 


ПОЧЕМУ ТЫ 


столько 
РЕНТГЕН! 


машинально проверили лезвия своих орудий и решили 
повременить с заточкой. 

Комья земли вновь полетели в стороны. Ров углублялся. Через 
двадцать пять минут (прогноз Педро сбывался) потянуло дымом. 
Сначала легко, практически незаметно — так, словно кто-то непода- 
леку развел маленький костерок, потом — явственно, противно. Дым 
оседал на языке и в глотке. 

— Попали, — выдохнул Киринаикос. — Горит... 

— Что? — спросил Ле Рой. 

— Похоже, что лес. 

— Нет, — вступил в разговор Олафсен. — Это не лес. Точнее, 

не совсем лес. 

— Откуда ты знаешь, как горит лес, проклятый викинг? — возмутил- 
ся Педро. — Живешь там, в своей Швеции, среди фьордов и мха... 
Да и когда ты там был в последний раз?! 

Швед закрыл глаза — было видно, что он борется с собой; еще 
секунда — и он бы кинулся в драку. 

— Не напоминай мне о фьордах, мой милый испанец... 

— Мексиканец! 

— Тем более, — вежливо кивнул Олафсен. — Тем более — потому 
что они очень дороги мне. И, судя по всему, я их больше никогда 

не увижу. Я знаю, как горит лес. Я знаю, как горят дома; я даже 
знаю, как горит море, когда на нем разлита нефть из тонущего тор- 
педированного транспорта. Поэтому поверь мне — там горит не лес. 
— А что? — не удержался Киринаикос. 

— Джунгли. 

— Там — джунгли? — скорчив жуткую гримасу, переспросил Педро. 
— Там — джунгли? Ты выжил из ума, викинг! Посмотри под ноги — 
мы роем этот проклятый ров посреди пустыни! 

— Что не мешает быть джунглям в двух километрах от нас, — сказал 
Олафсен. Да и пустыней это трудно назвать. Я бы сказал — прерия. 

Ле Рой молча согласился со шведом. Дым принес с собой ка- 
кие-то странные запахи; лес не мог так пахнуть. Сырость, испарения 
— то, что периодически прилетало к ним с ветром, сейчас было пере- 
мешано с гарью. «Странно, — подумалось Ле Рою. — Зачем кому-то 
бомбить джунгли? Чем они могли помешать?». 

— Джунгли... — задумчиво произнес Киринаикос, поглядывая на тех 
парней, что работали молча со вчерашнего дня. — Прерия... Как это 
может сочетаться? Куда нас забросила эта поганая война? 

— Черта, — замогильным голосом сказал Олафсен и провел рукой 
по горизонту. — Там черта. За чертой может быть все, что угодно. 

Я знаю. Я помню. 

— Кто из нас оказался здесь первым? — внезапно спросил Педро. — 
Самым первым? Кто сделал первый удар лопатой, кто разметил на- 
правление этой чертовой канавы? И кто приказал ему это сделать?! 
— Я, — поднял руку один из молчунов. — Я здесь уже восемь дней. 
Я делал расчеты. Я отвечаю за точность проекта. Мое имя Адольф. 
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Приятно познакомиться со всеми вами — но лучше работать, 
а не молоть языком. 
— Немцы, — пробурчал Киринаикос. — Ох уж эти немцы с их веч- 
ным стремлением к порядку... Хуже японцев — слава богу, что узко- 
глазых здесь нет. Вместе они бы достали тут кого угодно. 
— Ты не ответил, кто приказал тебе, — Педро бросил лопату 
на землю и подошел к Адольфу. — Неужели ты сам пришел сюда 
и стал копать? 
— Нет, не сам, — немец остановился, воткнул лопату и оперся на че- 
ренок. — Вряд ли я бы догадался даже о существовании этого места, 
— он обвел глазами окрестности с небогатой растительностью. 
— Тогда кто? 
— Я не знаю, — криво улыбнулся Адольф. — И никто не знает. 
Просто ты оказываешься здесь, и все. Никто из вас не чувствует 
во рту привкус крови? 
Все моментально прислушались к своим ощущениям, после чего от- 
рицательно покачали головами. 
— Это хорошо, — улыбнулся Адольф. — Значит, я хорошо порабо- 
тал до вашего прихода. Лично я избавился от него лишь пару 
часов назад. 
— Ты о чем? — спросил Ле Рой. — Что за привкус? Если я правиль- 
но понял, здесь опасно находиться? 
— Уже нет, — отрицательно покачал головой Адольф. — Прошу 
верить на слово и не отвлекаться на пустые разговоры. У нас слиш- 
ком много работы. 
— Много? — подошел поближе Олафсен, засунув руки в карманы. — 
Что-то я не понял, если можно — с этого места поподробнее. 
Не очень хочется много работать. 
— Ничего не выйдет...— попытался улыбнуться Адольф, но сразу 
понял, что со шведом такой тон не пройдет. — К сожалению, 
от нас с вами это не зависит. Зря вы оставили лопату — если 
вы думаете, что за нами никто не наблюдает, вы ошибаетесь. 
Мы здесь как на ладони. 

Олафсен резко обернулся. Его глаза шарили по горизонту — 
но безрезультатно. Он остановился, посмотрел себе под ноги, 

а когда поднял взгляд вновь, Адольф 
отступил на шаг. 


0 М ВЗЯЛ СЯ — Слышишь, немец, — процедил швед 
УИ сквозь зубы, — или ты объяснишь мне, 
ЗА РУГО И что мы здесь делаем... Или будет больно. 
Д И ты все равно скажешь. Кто-нибудь со- 


ку гласен со мной? 
КРАИ [И Несколько человек поддержали его. 
Всем — или почти всем — хотелось знать, 
ВДРУГ что они здесь делают и как они здесь ока- 


зались. Адольф отступил еще на один шаг 


ЗАМ ЕТИЛ и постарался ответить всем сразу: 
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— Я прошу Bac всех прислушаться к голо- 


ЧТО су разума. Надеюсь, никто не против это 
сделать? Так вот: я понятия не имею, отку- 


В ГЛУБ И H IE да здесь я сам и все остальные. Я уже 
БЫЛ здесь, когда появились все осталь- 

ные — был, и сам не знаю, почему. Вы 

IB р 0 Hl |= В 7 | KA появлялись по одному, реже — по два. 


Просто из воздуха. Появлялись, словно 
ЧТО -T0 эфир со скоростью света ткал живую мате- 


рию. Вроде никого нет — и вот еще одна 


Ш | В ЕЛ ИТСЯ фигура с лопатой стоит возле меня в гряз- 
и 


w ной рубашке и широких штанах. Вы вклю- 
КАКО И-ТО чались в работу молча и не спрашивли ни- 
=, vero — смотрите, сколько земли перекида- 
Ul [Е р № bl И ли. Думаю, скоро можно закладывать 
фундамент... 


— Не отвлекайся, — вновь надавил Олаф- 
сен. — Говори. 


— Я ведь и говорю, — продолжил Адольф. 
ИЗДАВАЛ — Мы работаем, и все тут. И я твердо 


убежден, что за нами наблюдают. Издале- 


СТ РАН № ы] | ка, из укрытия... Может, в очень мощный 


бинокль. И я совершенно точно уверен — 


СТО НУ И | нам не стоит долго простаивать без дела, 
иначе нам напомнят о нашем предназначе- 


3 ВУКИ нии. Причем напомнят так, что мы очень 
и очень пожалеем. 


— Это угрозы? — поинтересовался Киринаикос. — Ты требуешь 
от нас подчинения? Ты здесь главный? 

— Нет, я не главный. Я — первый. И если бы вы видели, что здесь 
было до вас — поверьте, вы сказали бы мне «спасибо». 

Ле Рой в который раз осмотрелся и так и не смог понять, что 
же имел в виду немец. Никаких признаков того, что кто-то работал 
здесь до их появления, и уж тем более — что этот «кто-то» провер- 
нул здесь колоссальную работу, не было. Кроме их рва, постепенно 
заполняющегося грунтовыми водами — поначалу медленно, пропо- 
тевая, а дальше все быстрее и быстрее — здесь, в этой глуши, не 
было ничего. И тем глупее смотрелась тут группа парней с лопата- 
ми, ведущая этот ров по какому-то непонятному ориентиру, будто 
вбитому им в мозги. 

— Я верю, — после паузы сказал он. — Но не понимаю. Поэтому 
мы все еще ждем объяснений. Что именно делал здесь ты, пока мы 
не пришли? 

Адольф тяжело вздохнул. 

— Я понимаю так же мало, как и вы, — махнул он рукой. — Мы ни- 
чем не отличаемся. Почему вы придаете такое значение моей персо- 
не, мне непонятно — я же не требую от вас благодарности за то, что 
я разгреб здесь кучу радиоактивного мусора! 

— Кучу чего? — напрягся грек. 

— Да, вы не ослышались! — взмахнул обеими руками Адольф, слов- 
но это придавало его словам больший вес. — Когда я появился 
здесь, прямо передо мной на этой чертовой земле лежали сорок по- 
луразвалившихся бочек с какой-то непонятной жидкостью, непрерыв- 
но подтекающей изо всех щелей! Едкой, мерзкой на вид жидкостью, 
которая еще вдобавок и светилась в сумерках, словно бочки были 
напичканы светлячками по самый верх! 

— И где же она теперь? — спросил Киринаикос, глядя себе под ноги. 
Выражение его лица говорило о том, что он хочет немедленно отсю- 
да уйти — и чем дальше, тем лучше. — Неужели ты выпил ее всю, 
проклятый немец?! Почему ты сразу не сказал нам о том, что мы ра- 
ботаем на зараженной территории! Сволочь, почему ты молчал?! 

Мы уже схватили столько рентген! 

Он схватил свою лопату и, судя по всему, собирался раскроить 
Адольфу череп, но Ле Рой ему не позволил. Он ловким незаметным 
движением выставил ногу — и Киринаикос полетел головой в гряз- 
ную коричневую жижу на дне канавы. 

Швед и немец посмотрели на Ле Роя, как на человека, совершив- 
шего самый нелогичный поступок в своей жизни — причем Олафсен 
смотрел, как хищник, а Адольф — благодарно и восхищенно. Ле Рой 
сам не ожидал подобной смелости, поэтому едва сумел остановить се- 
бя не ринуться вниз, к барахтающемуся в дерьме греку, чтобы вьыта- 
щить его на сухую землю. Он встретился взглядом поочередно с каж- 
дым заинтересованным лицом, после чего ткнул пальцем в Адольфа: 
— Мало информации. 

— Да вы меня все время перебиваете! — возмутился немец. — 

Кто следующий кинется на меня с лопатой? 

— Успокойся, никто, — покачал головой Ле Рой. — Нам всем хочется 
знать, куда ты дел эти сорок бочек с радиоактивным дерьмом. Ведь 
ты же что-то с ними сделал, раз их здесь нет? 

— Гениальная мысль, — пробурчал Адольф. — Конечно, я попы- 
тался что-то сделать, но уже через несколько минут у меня из носа 
пошла кровь. Во рту появился металлический привкус, зашумело 

в голове, короче — недолго бы мне осталось, но... На какое-то вре- 
мя, как я понимаю, я выпал из жизни: складывалось впечатление, 
что она проплывает мимо меня. Я уже приготовился умереть, 

но вдруг почувствовал себя лучше — не совсем, но настолько, 
чтобы выполнить приказ... 

— Какой? — спросил Олафсен. 

— Чей? — перестав отряхивать с себя грязь, спросил грек. 

— Не знаю, — ответил Адольф Киринаикосу. — Он просто выстроил- 
ся в моей голове, как доминанта, как директива... Я очнулся от свое- 
го радиоактивного транса и принялся переворачивать бочки, разли- 
вая светящееся дерьмо по земле. Они были тяжелыми, ржавыми, 

с массой зазубрин, неподатливые... Но я сумел выпотрошить больше 
половины из них, когда понял, что жидкость ушла в землю, не оста- 
вив и следа. Она просто исчезла — как и все мои ощущения. Я снова 
был здоров — и ни на секунду не сомневаюсь, что, столкнувшись 

с бочками, я заразился лучевой болезнью. И, осознав, что я все еще 
жив, я закончил работу вдвое быстрее, чем рассчитывал — будто кто 
вдохнул в меня силы. Вся эта урановая водичка исчезла, словно 

ее и не было. А потом стали появляться вы. 


Он вдруг улыбнулся своим словам: 
— Надеюсь, между ее исчезновением и вашим появлением нет прямой связи. 

Ле Рой помолчал немного, потом усмехнулся и ответил: 

— Будем надеяться... 

— Может, стоит вернуться к работе? — спросил Адольф, закончив 
свой монолог. — Все-таки есть высокая вероятность того, что нас 
могут проверить. 

— И что нас ждет? — поинтересовался Олафсен, сложив на груди руки. 
— Не знаю, — отрицательно покачал головой Адольф. — Но думаю, 
что ничего хорошего. Мы ничего не делаем уже почти двадцать минут 
— а это много, по меркам того, кто наблюдает за нами. 

— Есть ощущение, что ты знаком с этими людьми лично, — швед при- 
близился на пару шагов. — И сдается мне, что грек зря нырнул 

в дерьмо с головой, — последнее адресовалось уже Ле Рою. — 

Ты кто — француз? Шотландец? 

— Канадец, — ответил Ле Рой. — И место Киринаикоса было именно 
в канаве — не думаю, что нам помешают лишние рабочие руки. Если 
бы сейчас на дне рва лежал Адольф с пробитой головой, мы бы — 
раз! — не узнали бы того, что он нам рассказал, и — два! — делали 
бы часть его работы. 

Грек, сидя на краю рва, поднял глаза на Ле Роя и прищурился — 
бескомпромиссная ненависть сквозила в этом взгляде. Чувствовалось, 
что злобу он затаил всерьез и надолго, хотя всего лишь пару минут 
назад собирался убить совершенно другого человека. Ле Рой, почув- 
ствовав этот взгляд, ответил тем же. 

И оба поняли, что не останутся без внимания. 

Адольф посмотрел на них обоих, потом почесал в затылке и сказал: 
— Не знаю, как вы, а я продолжу. 

Он отмерил несколько шагов вдоль по ходу рва, сделал там от- 
метку острием лопаты, вернулся и принялся отбрасывать землю в сто- 
рону. Те, что стояли по эту сторону рва, последовали его примеру; 
четверо оказавшихся по другую сторону переглянулись, переброси- 
лись парой слов и тоже вернулись к работе. 

Тем временем на горизонте — там, откуда тянуло дымом — ста- 
ло тихо. Хлопки далеких взрывов прекратились, крестики самолетов 
исчезли в вечернем небе. 

Ле Рой считал, сколько раз он взрезал лопатой землю. 

— Девятьсот тридцать два... Девятьсот тридцать три... 

Когда счет перевалил за тысячу, он позволил себе осмотреться. 
На той стороне двое курили, свесив ноги с края канавы, другие копа- 
ли, все медленнее и медленнее, поглядывая на бездельников с нес- 
крываемой злобой и презрением. Ле Рой распрямил спину, смахнул 
пот со лба. 

— Чушь какая-то, — пробурчал он себе под нос. — Зачем мы здесь? 
На много километров на все стороны света ни души, где-то далеко 
идет война — а мы появляемся из ниоткуда, роем эту чертову яму, 
смотрим, как она заполняется водой, плюем и мочимся в нее, рвем 
друг другу рубашки и ноздри, ненавидим, ругаемся, спорим, мы, люди 
из разных стран, разных религий и убеждений... Эй, Адольф! 

Немец оторвался от работы, воткнул лопату в землю, потянулся 
и только потом отозвался: 

— Что, канадец? 

— Устал? 

— Глупый вопрос. Да. 

— Тогда почему не объявляешь перекур? 

— Почему я? Вон те двое объявили его сами себе. Не преувеличивай 
мою роль, — немец отмахнулся от Ле Роя ладонью. — Ты что-то хотел 
спросить? 

— Я спросил. 

— Нет, не это. Я же чувствую — ты швырял землю, а сам думал, 
думал... Что не дает тебе покоя? 

Ле Рой хотел удивиться проницательности немца, но подумал, 
что тут нет ничего такого сверхъестественного — скорее всего, об 
этом думали все. Ну, или почти все. 

— Мне, как ты совершенно справедливо заметил, не дает покоя одна 
мысль. Одна, но зато какая! 

— Продолжай, раз уж начал, — подбодрил немец. — И, раз уж мы от- 
влеклись от дела — перекур. 

— Надолго? — спросил грек, практически падая на землю — просто 
удивительно, на чем он держался последние полчаса... 

— Там увидим, — хитро посмотрел Адольф на него. — Смотря что 
мы сейчас будем обсуждать с канадцем. 

Киринаикос кивнул, сделав это, как китайский болванчик — сил 
держать голову у него уже не осталось. Он лег на землю, после чего 


крикнул куда-то в небо: 
— Господи, дайте кто-нибудь сигарету!!! 

Швед подошел к нему, присел рядом, вытащил из кармана пачку 
папирос, закурил одну из них, после чего воткнул уже дымящуюся 
в рот греку и вытянулся рядом. 

Адольф улыбнулся, глядя на это. 
— Что ты хотел спросить? 
— Кто твои родители, немец? — неожиданно для самого себя произ- 
нес Ле Рой. 
— Но ты хотел спросить не это, — удивленно поднял брови Адольф. — 
Ты же думал о том, что... 
— Стоп, — перебил его канадец. — Ты прав. Но ответь сначала 
на этот вопрос. 

Немец задумался, глядя себе под ноги. 
— Как бы дико это не прозвучало, Ле Рой, но мне нечего тебе сказать. 
— Поясни. 
— Нечего — это значит нечего, — развел руками Адольф. — Я только 
сейчас подумал о них — и вдруг понял, что никогда в жизни их не ви- 
дел. Да были ли они у меня? Чертовщина какая-то! 

Он сделал несколько шагов вдоль рва, пнул большой ком земли, 
проследил, как он упал в воду, разбрызгивая вокруг себя грязь. 
— Родители... Да я не помню даже, откуда я родом! Постой, Ле Рой, 
неужели ты что-то понял? 
— Пока нет, — пригладил мокрые волосы канадец. — Пока — нет... 
Сейчас бы дождь... Сильный, холодный, чтобы как в детстве... 
Как в детстве... Эй, Олафсен! 
— Чего? — буркнул швед, не поднимая головы. 
— Расскажи, ты любил в детстве дождь? 


— Чего? 
— А что тебя смутило? Слово «дождь» или слово «детство»? 
— Его смутило слово «любил», — попытался рассмеяться грек, ноу не- 


го плохо получилось. Он закашлялся, сел и оглянулся на Ле Роя. — Хо- 
чу, чтобы ты знал, канадец: не поворачивайся ко мне спиной. Никогда. 
— Злопамятный? — не сводя глаз со шведа, спросил Ле Рой. — He 
самое лучшее качество в жизни. Олафсен, я жду ответа — как там 
насчет своего детства? Есть какие-то отклики из глубин сознания? 

Швед тоже поднялся, выпустил клуб дыма из своих больших лег- 
ких и, наконец, соблаговолил ответить: 

— Детство как детство. Плохо помню... 

— Плохо? — подошел поближе Ле Рой, отметив краем глаза, что Кири- 
наикос приблизил руку к черенку лопаты. — Или совсем не помнишь? 
— Я тоже не помню, — вмешался в их разговор Адольф. Он подошел 
и встал так, что оказался точно между греком и канадцем, Киринаикос 
прикинул расстояние, разочарованно убрал руку и снова лег на землю. 
— Просто до твоего вопроса о родителях я жил так, как будто они и не 
нужны вовсе, будто их и не было. Странно, правда? 

— Ничего странного, — ответил Ле Рой. — Я тоже — ни мамы с папой, 
ни детства. Пустота. Хуже всего, что у меня складывается впечатле- 
ние, что меня СДЕЛАЛИ, чтобы я рыл эту чертову канаву. 

— Не все так плохо, — ответил Олафсен. — Я помню... Какие-то ули- 
цы, бараки... Люди, похожие на меня... 

— Чем похожие? — поинтересовался Ле Рой. 

— Одеждой, походкой, у кого-то в руках лопаты, у кого-то — оружие; 

и над всем этим — флаг. Шведский флаг... Какое-то большое здание 
в центре города, а на верхушке шпиль с флагом. 

— Как ты оказался здесь? — спросил канадец, вспоминая свое про- 
шлое — маленький кусочек, застрявший в памяти, как кусочек пищи 
между зубов. — Можно хоть какие-то подробности? 

— Можно, отчего же... — Олафсен поднялся, отряхнул спецовку, от- 
бросил в сторону окурок. — Пришли люди, вошли в город, приказали... 

В этот момент он посмотрел на Адольфа и махнул в его сторону рукой: 
— Вот эти. 

Канадец не понял, посмотрел сначала на Адольфа, потом пере- 
вел взгляд на шведа: 

— Поясни. 

— Что толку пояснять?! — явно нервничая, крикнул Олафсен. — Те- 
перь уже все равно. Нет у меня на них зла — а ведь должно быть, пра- 
вда? Пожалуй, это единственное, что меня удивляет — почему я абсо- 
лютно равнодушен к случившемуся? 

Адольф напряженно слушал все, о чем говорил Олафсен. Он ли- 
бо очень хорошо скрывал какую-то правду, либо на самом деле был 
совершенно не информирован о том, что же случилось со шведом 
в тот момент, когда «вот эти люди» вошли в его город. 

— Нельзя ли как-то уточнить — почему, зачем, когда? — настойчиво 
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спросил канадец. — И вообще — почему мне всегда приходится про- 
сить вас всех рассказывать поподробнее? У вас что, слов не хвата- 
ет? Или речь не развита? 

— Кто ты такой? — внезапно спросил со своего места Киринаикос. 
— Чего ты лезешь ко всем со своими расспросами? Кто уполномо- 
чил тебя проводить следствие? Начни с себя — и, может быть, тогда 
мы согласимся с тем, что у тебя есть право задавать вопросы. Хотя 
я вряд ли соглашусь. Помни о том, что я сказал. 

— Резонно, — заметил швед. — Эй, парни! — крикнул 

он на ту сторону рва, где расположились на отдых остальные 
члены их коллектива. — Не хотите послушать слезливую исто- 
рию жизни канадца Ле Роя? 

Четверо до этой минуты неподвижно лежавших на земле, вста- 
ли, подошли к краю рва, прикинули, смогут ли перепрыгнуть ту жижу, 
что уже накопилась внизу, переглянулись и поочередно прыгнули. 
Выбравшись наверх, они подошли поближе и присели на землю, об- 
разовав вместе с Киринаикосом и шведом полукруг, в центре кото- 
рого оказались немец и Ле Рой. Адольф посмотрел вокруг и отошел 
в сторону, опустившись на землю возле грека. 

— Значит так, да? — спросил канадец. — Решили сделать меня 
крайним? Один не помнит своих родителей, другой не знает, было 
ли у него детство, третий помнит шведский флаг над каким-то до- 
мом, но при этом равнодушно роет канаву вместе с немцем и гре- 
ком? Решили, что ответит и внесет ясность именно канадец? 

— Ну, примерно так, — ответил за всех Киринаикос, не глядя ему 
в глаза. — Внеси эту самую ясность. Да побыстрее — судя по сло- 
вам Адольфа, у нас могут быть проблемы, если мы надолго пере- 
станем копать. 

— Это так, — кивнул Адольф. — Не сочтите меня за надсмотрщи- 
ка, но он прав. 

— Кто придет проверять — твои люди? — спросил канадец. — Немцы? 

Адольф кивнул. 

— Чушь какая-то, — кивнул канадец. — Получается, что в город 
Олафсена вошли немцы, заставили работать на себя, но при этом 
создали какую-то интернациональную бригаду и поставили присма- 
тривать и руководить процессом одного из своих. Мы работаем, ра- 
ботаем, а сами — я уверен, что у каждого в голове есть мысль, по- 
добная моей — думаем о том, почему мы не можем бросить все и 
уйти. Понимаю, что стоя среди степи, сложно принять решение пу- 
ститься в бега — нет ни одного нормального ориентира, неизвестно, 
куда идти. Но ведь уйти возможно? Что нас держит? 

— Ничего, — сказал швед, встал и пошел в ту сторону, откуда до них 
долетал звук бомбежки. — Посмотрим, что из этого выйдет... 

Все провожали его взглядами. Спустя некоторое время фи- 
гурка шведа стала плохо различимой из-за MapeBa, поднимающего- 
ся от земли. 

— Он вернется, — вдруг сказал Адольф. Все вздрогнули и посмо- 
трели на него. — Там ничего нет. В смысле, конечно, есть — 

но совсем не то, что он хотел бы там найти. И уж тем более там 
нет дороги домой. 

— Рассказывай, чего тянуть, — сказал кто-то из подошедших с дру- 
гой стороны. — Чего мы, зря перебирались сюда? 

Ле Рой оглядел всех, вздохнул и сказал: 

— Думаю, мы все похожи — настолько, насколько объяснял швед. 
Мы не помним ничего из своей жизни — ничего, кроме каких-то 
обрывков улиц, домов, людей с оружием. Я еще отметил про себя 
цокот копыт по булыжным мостовым... 

— Было, — сказал кто-то. Канадец не разобрал, кто именно, но со- 
гласно кивнул. 

— Вот видите, что-то общее есть практически у всех нас... — продол- 
жил канадец, но грек перебил его. 

— Я вспоминаю, — неожиданно вставил он, — что на улицах моего 
города было очень много людей с книгами в руках — просто невооб- 
разимое количество. Они сидели вдоль улиц на скамейках, их было 
видно в окнах домов, на набережной — да где они только не появля- 
лись! Сам-то я читать так и не научился... 

— Я такого не помню, — прокомментировал канадец. — Честно 
говоря, читать я тоже не умею: вот взглянул на клеймо на лопате, 
знаю, что это буквы, но слова из них сложить — не получается. За- 
то знаю много молитв — где-то на краю застряло такое количество 
божественной благодати, что просто не передать словами! Сложно 
связать это с детством, которого не было — разного рода псалмы 
и молитвы я заучивал наизусть с чьих-то слов, это вне всякого 
сомнения... 


Мексиканец, до этого момента молчавший, словно набрав в рот во- 
ды, внезапно принялся бормотать себе под нос какие-то слова и 
истово креститься. Он закрыл глаза, мелко-мелко крестил себе лоб 
и раскачивался взад-вперед. Ле Рой уловил в его молитвах какие-то 
знакомые созвучия. 

— Точно, — сказал он. — Мы тоже молились подобным образом — 
вот только крестились широко, стоя под сводами городского собора. 
Я помню свой город какими-то кусками: молитвы, чтение книг на 
каждом углу, гарцующие всадники, порт... Вот еще что: мой город 
стоял на берегу моря... Или реки... Сложно сказать. 

Педро прекратил на пару секунд свою молитву, прислушиваясь 
к словам Ле Роя, потом продолжил. Киринаикос поднялся, 
оглядел горизонт. 

— Там что-то движется, — ткнул он пальцем в ту сторону, куда ушел 
Олафсен. — Что-то большое — больше, чем швед. Какая-то машина. 

Все встали и принялись вглядываться туда, куда указал грек. 
Действительно, что-то большое и быстрое приближалось к ним; ско- 
ро уже стал слышен гул, похожий на гудение бомбардировщика. 

— Танк, — сказал из-за спин Педро. — Точно вам говорю. Их привел 
швед... Проклятый викинг! 

Все молчали. Комментировать слова Педро было глупо — 
вряд ли швед ушел, чтобы привести сюда войска. Тем временем 
танк приближался. 

Канадец машинально сжал крепче черенок лопаты — хотя, как 
он мог навредить танку при помощи лопаты? Однако стало чуть спо- 
койнее: он заметил, что и другие подняли с земли орудия труда и 
сжали их в руках. Некоторое время спустя стало слышно, что звук 
разложился на два — один звук был более высокий, второй — низ- 
кий, тяжелый, пробиравший до мозга костей. 

А через пару минут они подъехали: танк и впереди него — ма- 
шина мотопехоты. Броневичок лихо развернулся в десятке метров от 
стоящих людей; они сделали пару шагов назад, чтобы не утонуть в 
облаке пыли, образовавшемся от разворота гусениц. Танк замер не- 
подалеку, качнув стволом. 

— Серьезные ребята, — сказал кто-то за спиной. — Что за знак на борту? 
— Это мои, — ответил Адольф и вышел вперед, взмахнув рукой. 
Люк танка лязгнул и открылся. Наружу по пояс показался офицер в 
запыленной форме; он снял шлемофон, вытер пот со лба и крикнул: 
— Привет, парни! 

Ответом была тишина. Ле Рой заметил, что грек прикрывает 
лопатой грудь, и сделал то же самое. Адольф подошел поближе 
к танку, оставив броневик в стороне. 

— Здравствуйте! — крикнул он в ответ. — Как добрались? 

— Черт бы побрал эти степи! — сказал в ответ офицер, выбираясь на 
броню. — Пыль: ни кустика, ни колодца! Вы-то как? Вода еще есть? 
— Ее и не было, — шепнул канадец и вдруг понял, что они не пили 

и не ели с того самого момента, как появились здесь. И тут же захо- 
телось пить — язык, превратившийся в кусок наждачной бумаги, 
кричал о жажде, горло пересохло. Ле Рой огляделся и убедился в 
том, что воды нет — как будто она могла взяться из ниоткуда! 

— Насчет воды — это вы здорово спросили, — рассмеялся Адольф. 
— Мы здесь уже скоро сутки, а ни грамма влаги не видели. Если не 
считать того дерьма, что постепенно копится на дне рва — 

а уж взять такую воду в рот не рискнет ни один нормальный человек. 

Тем временем офицер спрыгнул на землю, оставив шлем на 
броне, одернул китель и подошел поближе, протянув руку Адольфу. 
Тот с видимым удовольствием пожал ее. 

— У вас все в порядке? — поинтересовался командир танка. — Воду 
и продукты мы вам привезли, они в броневике. Должно хватить на 
первое время, а дальше — посмотрим... Но, как я понял, желающих 
работать становится меньше? 

Он перевел глаза на стоявших неподалеку людей, пересчитал 
их, тихо шевеля губами. 

— Не хватает, — сказал он Адольфу. — Одного не хватает. 

— Знаю, — согласился тот. — Но я не стал останавливать — думаю, 
что он никуда не денется и вернется. 

— Тугвы правы, — кивнул офицер. — Ганс! — крикнул он в сторону 
танка. Из люка показалась взъерошенная голова блондина. 

— Доставай! — приказал офицер. 

— Есть! — ответил Ганс, выскочил на башню и, наклонившись, потя- 
нул что-то изнутри. Канадец не удивился, когда увидел, что Ганс вы- 
таскивает на броню Олафсена. 

— Господи... — перекрестился Педро, увидев залитое кровью лицо 
шведа. — За что они его так?.. 


Действительно, глядя Ha Олафсена, не вспомнить Господа было 
нельзя. Он был не просто избит — похоже, он был изувечен, причем не 
случайно, а преднамеренно. Канадец обратил внимание, как дергался и 
гримасничал швед, когда его руки и ноги задевали за броню — похоже, 

у него осталось очень мало целых костей. Гансу помогал еще один чело- 
век — вдвоем они выволокли шведа на землю и уложили возле гусеницы. 

Командир тем временем о чем-то переговорил с Адольфом, со- 
гласно кивнул и крикнул: 

— Три человека пусть пока разгружают броневик. Продукты и воду 
в одну сторону, все остальное — ближе ко рву! 

«Остальное — это, интересно, что? — подумал канадец, чув- 
ствуя, как Педро и грек недоверчиво смотрят на закрытые десантные 
люки броневика. — Что там может быть? И за что так избили шведа? 
Нам в назидание?». 

Очень не хотелось приближаться к броневику. Вообще, не хоте- 
лось что-либо делать под дулом танка: было в этом что-то унизитель- 
ное. Но парни, которые приехали на танке, решили иначе. Они подо- 
шли к стоящим на краю канавы людям, пристально взглянули в глаза 
каждому и ткнули пальцами в тех, кто, по их мнению, мог наиболее 
быстро и хорошо исполнить приказ. Этими троими оказались Ле Рой, 
Педро и еще один парень, что пришел с другой стороны. 

Ганс достал из кобуры пистолет и махнул им в сторону броневика. 
— Живо, разгружайте — если не хотите умереть с голоду! — прика- 
зал он. — А ты, Дитрих, присматривай за ними. И самое главное — 
проверяй мешки. 

Танкист кивнул и подтолкнул Педро. Остальные, не дожидаясь 
тычка под ребра, пошли сами. 

Дверцы десантных люков отворились на удивление тихо. 

Ле Рой посмотрел внутрь, увидел пару ящиков с надписью «Консер- 
вы», потом несколько упаковок минеральной воды и еще что-то в 
глубине, подошел, взял воду, прикинул, куда бы положить и опреде- 
лил местом складирования тот участок, где они только что отдыхали. 
Следом за ним принялся вытаскивать продукты Педро. Третий па- 
рень попытался взвалить на себя ящик с консервами, но ему это ока- 
залось не под силу. 

— Сейчас, помогу, — поставив воду на землю, сказал канадец. Вер- 
нувшись, он взялся за другой край и вдруг заметил, что в глубине 
броневика что-то шевелится. Какой-то черный мешок издавал стран- 
ные стонущие звуки. Ле Рой решил не говорить пока об этом — ско- 
ро они все равно до него доберутся, тогда и станет ясно. 

Они вытащили еду — ящики быстро кончились, их было не так 
уж много, потом выгрузили две большие палатки (Киринаикос и еще 
три человека быстро принялись устанавливать их, чтобы скрыть от 
палящего солнца воду). Все это время мешок в броневике потихонь- 
ку постанывал, а Адольф, усевшись на броню, о чем-то весело тре- 
пался с офицером. Вскоре до канадца долетели звуки губной гар- 
мошки. «Развлекаются, — зло подумал Ле Рой. — Встретил земля- 
ков... Вот только странно, почему они командуют нами? Почему они 
— главные? Дело в той войне, что идет неподалеку?». 

В это время на очередное бомбометание прибыла эскадрилья 
бомбардировщиков. Офицер, дурачась, соскочил с брони, щелкнул 
каблуками и крикнул «Хайлыь!». Адольф поддержал ero, выкрикнув то 
же самое. Они рассмеялись, офицер хлопнул его по плечу и предло- 
жил выпить из тонкой фляжки, которую вынул из-за пазухи. Адольф 
несколько раз отхлебнул, поморщился и, довольный, вернул флягу. 
Офицер тоже пару раз приложился к ней, глотнул с видимым нас- 
лаждением и подошел к Ле Рою и тем, кто вместе с ним разгружал 
броневик. 

— Хорошо, — похвалил он, увидев, что процесс идет полным ходом. 
— Те мешки, что лежат в глубине десантного отсека, выгружайте по- 
ближе ко рву — потом поймете, почему. 

Он к чему-то принюхался, потом посмотрел в сторону само- 
летов и произнес: 

— Скоро нам праздновать... Там бригада Биндермана. Когда они 
войдут в город, мы узнаем это по красному зареву. Он обещал 
сжечь там все книги, добавив в огонь какую-то дрянь, что раскра- 
шивает дым в ярко-красный цвет. Как только небо окрасится в ро- 
зовые цвета — значит, мы вошли в город. 

Он посмотрел в глаза Ле Рою и зло прищурился. 

— Работать! — внезапно крикнул он. И куда только исчез тот милый 
офицер, который трепал всех по щекам и раздавал трофейный 
коньяк! Его место занял грубый солдафон-самодур, раздающий при- 
казы направо и налево. — Мешки брать вдвоем и тащить ко рву! Бы- 
стро, я сказал! 


Канадец ухватил первый мешок, который наощупь оказался то ли 
пластиковым, то ли еще каким-то синтетическим, никак не из ткани, 
как казалось в темноте десантного отсека. Потянул на себя — там 
что-то свободно болталось. Киринаикос, закончив ставить палатку 

и спрятав туда воду, подошел, ухватился за другой конец, шепнул ка- 
надцу: 

— Я всегда буду рядом, сволочь... Не поворачивайся ко мне спи- 
ной, слышишь? 

Ле Рой постарался не обращать внимания на его шипение, но 
совет грека принял на заметку. Вдвоем они вытащили мешок наружу 
и по его контурам поняли, что там человек. 

Мертвый человек. 

Встретившись взглядами, они машинально посмотрели внутрь 
броневика. Там были еще около двадцати таких мешков. Двадцать 
трупов. И один мешок продолжал шевелиться. 

— Выполнять! — снова крикнул офицер и толкнул канадца в плечо. 
Ле Рой очнулся от своего забытья и быстро, в паре с греком, пота- 
щил мешок к канаве. 

«Мы копали могилу, — подумал он. — Но она чересчур велика 
для двадцати покойников. Неужели скоро их будет намного больше? 
Остальных привезут из города? !». 

Мешок они сложили рядом с большой кучей земли. Офицер по- 
дошел к ним, заглянул вниз, смачно плюнул, после чего толкнул ме- 
шок ногой. Тело покатилось по склону, пока его не остановила гряз- 
ная жижа на дне. Оно бултыхнулось в грязь, несколько секунд поле- 
жало на поверхности, после чего стало медленно погружаться. 

— Ганс! — крикнул он. — Оставь шведа, иди сюда! 

Подчиненный быстро подбежал, оставив Олафсена валяться 

на земле. 

— Первый — черт с ним! Но всех остальных — проверяй! 

— Есть! — Ганс вытянулся в струну, отдал честь. Командир танка 
еще раз осмотрелся вокруг, взглянул в сторону города, надеясь уви- 
деть красный дым, и вернулся к своей броне. 

— Следующий! — крикнул Ганс. Второй мешок тащил Педро со 
своим напарником. Они также оставили его на краю. Ганс шевельнул 
его ногой, потом вытащил пистолет и выстрелил сквозь ткань в голо- 
ву. Кроме выстрела, никто не услышал ни звука. 

— Бросай! 

Педро толкнул мешок с бруствера вниз. Он упал рядом с пер- 
вым. К этому времени Ле Рой и грек подтащили третий... 

Когда дошла очередь до шевелящегося и стонущего мешка, 
канадец прикусил губу. Там, внутри, был живой человек — и че- 
рез минуту его застрелят. 

Грек не обращал на это внимания. Он молча делал свое дело, 
ни на секунду не забывая о том, что Ганс может выпустить мозги не 
только тем, кто лежит в мешках, но и тем, кто эти мешки носит. 


Они положили мешок у ног 
танкиста, тот выстрелил... 
А спустя секунду из ГАНС 

мешка раздался ответный 

выстрел: Ганс схватился за Ш ЕВ ЕЛ lb НУЛ 

грудь, покачнулся и упал в к. 

ров. Командир танка в этой 

ситуации не растерялся — ЕГО НОГОИ 5 

несколько метких выстрелов 

из пистолета заставили че- ПОТОМ ВЫТАЩ ИЛ 

ловека в мешке умереть. 

Он подбежал к краю канавы, fl “ACTON ET 
В ГОЛОВУ. 
TREAT ВЫСТРЕЛА, 


толкнул ногой мешок 

и заорал: 

— Что смотрите, суки?! Рабо- 
тать! 

Потом подбежал к от- 
крытым дверям, на ходу пере- 
заряжая пистолет, 

и расстрелял все мешки вну- 
три броневика. 

— Сволочи! — орал он, выпу- 
ская пулю за пулей. — Всех... 
Всех!.. Расстрелять! Утопить! 
Стереть с лица земли! 

Адольф подошел к нему 
со спины, прикоснулся к пле- 
чу, надеясь успокоить... 
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Офицер резко развернулся на каблуках и, не раздумывая, выстре- 
лил в него. Адольф сложился пополам — пуля попала в живот — 
застонал и посмотрел на офицера так жалостливо и удивленно, что 
у канадца, который стоял в двух шагах в стороне, перехватило дыха- 
ние от ужаса и сострадания. 

А через секунду он упал рядом с броневиком, несколько раз 
дернулся и затих. Смерть Адольфа несколько отрезвила командира 
танка. Он ненавидящим взглядом посмотрел на стоящих вокруг лю- 
дей и произнес: 

— Здесь нет своих и чужих... Здесь все меняется местами каждую 
секунду... Здесь нет любимчиков... Убью каждого, в ком увижу опас- 
ность для своей жизни. Работайте... И этого — тоже в канаву, — 

он перешагнул через труп Адольфа и пошел к танку. 


АБСУРДОМ БЫЛО ВСЕ. И ОНИ САМИ, 

И ИХ РАБОТА, И ЭТА МОГИЛА С ТОННАМИ 
ГРЯЗНОЙ ВОНЮЧЕЙ ЖИЖИ НА ДНЕ, 

И ПРОПАВШИЕ БОЧКИ 
СРАДИОАКТИВНЫШМ ри 
ДЕРЬМОМ, И ЛОВУШКА, ВСТРЕТИВШАЯ 
ШВЕДА... И ДАЖЕ ТАНК, КОТОРЫМ 
УПРАВЛЯЛ ЛЮБИТЕЛЬ КОНЬЯКА, 
ОЖИДАВШИЙ КРАСНОГО 3APEBA 

НА ЗАКАТЕ. 


Башня танка с противным шумом повернулась, направив дуло на ра- 
ботающих возле броневика людей. Это было немым приказом. 

Грек и Ле Рой переглянулись снова, взяли немца за руки и ноги 
и скинули вниз, в ров. Адольф быстро исчез из виду: остальные про- 
стреленные мешки быстро скрыли его от глаз людей, оставшихся на- 
верху. Когда броневик опустел, его водитель закрыл двери, мощно 
газанул, оставив после себя вонючее облако, и умчался в сторону 
бомбежки. Следом попятился танк. 

— Я думал, мы делаем что-то полезное, — внезапно сказал Педро. 
— А иначе — что же это за дьявольщина? Зачем мы здесь? 

— Мы могильщики, — озвучил общую мысль Ле Рой. — Киринаикос, 
я думаю, нам нет смысла враждовать — тот, кого ты хотел убить, 
мертв. Да и оглядываясь на все то, что было здесь в последний час, 
ты должен признать, что я сделал правильно, свалив тебя в канаву... 
— И почему же? — презрительно скорчив лицо, спросил грек. 

— Потому что если бы экипаж танка не нашел Адольфа среди жи- 
вых, думаю, нам всем нашлось бы место рядом с теми мешками. А 
вышло наоборот — сам немец лежит там, превращаясь в грязь. 

Грек нахмурился, но признал правоту Ле Роя. Скорее всего, так 
и вышло бы — экипаж танка сровнял бы их бригаду с землей... 

Тем временем Педро подошел к лежащему на земле Олафсе- 
ну. Швед был без сознания. 

— Дайте воды, — попросил мексиканец. Принесли бутылку, Педро 
плеснул немного на лицо избитого шведа. Тот вздрогнул и попытался 
защититься. Похоже, он думал, что кошмар продолжается. — Тихо, 
тихо, — успокоил его Педро, протер лицо от крови. — Ты слышишь 
меня, Олафсен? 

Тот кивнул, но глаз не разомкнул. Его пальцы шарили по земле в 
поисках того, за что бы можно было зацепиться, он хотел приподнять- 
ся. Подошел Ле Рой, помог мексиканцу отнести раненого в палатку. 

Через пару минут Олафсен попросил пить. Ему влили немного 
воды сквозь распухшие губы. 

— Уйти нельзя, — сказал он, не обращаясь ни к кому конкретно. — 
Там... Я не знаю, что там... 
— За что они тебя так изуродовали? У тебя сломана левая рука, в 


крови все тело... — Педро ощупывал шведа и ориентировался на его 
стоны. — Надо будет сделать шину для предплечья, разломаем чью- 
нибудь лопату, прибинтуем. 

— Это не они... — снова нашел в себе силы заговорить швед. — 
Это... Я не знаю, кто... Скорее, что... Какая-то сила. Я просто шел по 
степи... Километра два... И вдруг что-то меня швырнуло назад... 

— Как? — не понял мексиканец. — Никого и ничего не было? Ноты... 
— Швырнуло так, что мне показалось, будто меня сбила машина. 
Странно, но я не почувствовал удара, было другое ощущение... 
Дайте еще воды... 

Мексиканец машинально вложил ему в сломанную руку буты- 
лку с водой. Олафсен вскрикнул, уронил ее и разлил всю воду. Пе- 
дро выругался, взял еще одну и напоил шведа сам. 

— Ощущение, что меня дернули на- 
зад, — сказал Олафсен, отдышав- 
шись и уняв боль. — Тогда я и сло- 
мал руку — упал неловко, покатил- 
ся по своим же следам, рука под- 
вернулась под грудь... 

— Чушь какая-то, — сказал кана- 
дец. — Может, за тобой кто-то шел? 
Или сработала какая-то ловушка? 
Не может быть так, как ты расска- 
зываешь! Все в мире имеет свою 


— Ты так думаешь? — ухмыльнулся 
Педро. — В чем причина нашего по- 
явления здесь? Кто мы? Думаю, на 
это у тебя ничуть не больше отве- 
тов, чем на историю Олафсена! 
Канадец замолчал. Педро был 
прав на сто процентов — абсурдом бы- 
ло все. И они сами, и их работа, и эта 
могила с тоннами грязной вонючей 
жижи на дне, и пропавшие бочки с ра- 
диоактивным дерьмом, и ловушка, 
встретившая шведа... И даже танк, 
которым управлял любитель коньяка, 
ожидавший красного зарева на закате. 
— Кстати, что там насчет пожара, который нам обещали немцы? — 
спросил сам себя Ле Рой и вышел из-под брезентового навеса. На 
горизонте по-прежнему что-то громыхало, по-прежнему тянуло дым- 
ком, но никакого намека на красный пожар не было. Канадец посмо- 
трел на следы танковых гусениц и покачал головой. 
— Уйти нельзя, остаться в живых сложно, работать противно... — 
сказал он, ни к кому конкретно не обращаясь. — Как же быть? Как 
поступить в этой ситуации? По сути дела мы никому не нужны — при 
этом я уверен, что кто-нибудь опять придет проверить нашу работу. 
И никто не сможет предсказать, в каком расположении духа будет 
STOT «кто-нибудь». 
— Маленькое уточнение, на которое никто почему-то не обратил вни- 
мания, — сказал Киринаикос. Он все это время стоял у входа в па- 
латку и слушал, о чем говорил Олафсен. Рассуждения Ле Роя тоже 
не миновали его ушей. 
— На что именно мы не обратили внимания? — спросил канадец, 
продолжая смотреть в сторону невидимого отсюда города, располо- 
женного, если верить шведу, в джунглях. 
— В одном из мешков осталось оружие, — грек улыбнулся заходяще- 
му солнцу. — Оно, конечно, могло испортиться в воде — но чем черт 
не шутит... А если в остальных мешках тоже что-нибудь затерялось? 
— Считаешь, нам надо вооружиться? — повернулся к Киринаикосу 
Ле Рой. — Лично я чувствую, как внутри меня поднимается жела- 
ние работать — и оно сильнее меня. Еще несколько минут, 
и я возьму лопату и пойду ковырять эту чертову землю, несмотря 
на то, что в канаве лежат расстрелянные люди. 
— Ты не одинок, — сказал Педро. — Швед отключился, думаю, долго 
он не протянет. Надо срочно принимать какое-то решение. 
— Ты не понял, мексиканец, — грек сложил руки на груди. — Похо- 
же, мы не сможем ничего сделать — мы будем работать тут до тех 
пор, пока сами не окажемся на дне рва. Следом за Адольфом. 
— Тупик? — переспросил Ле Рой. 
— Тупик, — согласился Педро. 
— Лучше бы они привезли вина, — мечтательно закатил к небу глаза 
Киринаикос. — Сейчас бы сидели в палатке, пили что-нибудь крас- 


ное... Или белое... У нас вот много хорошего винограда. И голова no- 
том не болит. А перед смертью зато как было бы спокойно и приятно 
на душе... 

— Ты уже простился с жизнью? — нахмурил брови канадец. — 
Решил выпить кувшин вина, лечь и ждать пулю в лоб? Я полез 

за оружием. 

Он стал спускаться к утопленным телам. Земля осыпалась 
под ногами, Ле Рой с трудом удерживался от того, чтобы не съе- 
хать в грязь на спине. Проклиная всех и вся, он остановился на 
краю, присел, подтянул к себе один из мешков, выволок себе под 
ноги. Разорвать его было делом трудным — зашито было поверху 
широкими стежками и толстой ниткой. Сверху сбросили лопату — 
дело пошло чуть быстрее, о ее острый край Ле Рой перерезал 
нить, раскрыл... 

В этом мешке ничего не было. В смысле, не было оружия. Там 
был человек, убитый выстрелом в голову. На груди табличка — 
«Повстанец». Канадец угрюмо посмотрел в залитое кровью лицо, от- 
толкнул от себя мешок обратно в воду. 

Вторым был тот самый простреленный мешок. Они, конечно, 
были прострелены почти все, но этот Ле Рой отличил сразу — у него 
было одно пулевое отверстие на уровне пояса, там, где несчастный 
повстанец берег припрятанный пистолет. Канадец взял его в руку, 
проверил наличие патронов в обойме — сделал это крайне неумело, 
едва не утопив ее. 

— Бомбежка прекратилась, — сказал сверху грек. — И никакого 
красного дыма. А солнце уже заходит, поторопись. 

— Не хочешь помочь? — зло спросил Ле Рой. 

— Как представлю, что надо обыскивать грязные окровавленные тру- 
пы — тошнота к горлу подступает... И знаешь, мне почему-то все ме- 
ньше и меньше хочется работать... Помнишь то зовущее ощущение, 
на уровне приказа? 

Ле Рой поднялся, прислушался к своим ощущениям и кивнул, со- 
глашаясь. 

— В нас что-то изменилось? — спросил грек. 

— Вряд ли, — ответил Ле Рой. — Думаю, что не в нас. Вокруг. 

— Что ты имеешь в виду? — Киринаикос осмотрелся, словно хотел 
увидеть нечто зримое и вещественное — что-то, что указывало бы 

на изменения в их душах. 

— Там, — канадец махнул рукой в сторону города, — что-то идет 
не так, как хотелось бы тем, кто приезжал сюда на танке. Думаю, 
все идет в противоположную сторону. Слышишь, грек, тут есть еще 
пистолет... 

Ле Рой выбрался наружу и заме- 
Tun, что Киринаикос и Педро смотрят 
куда-то в сторону горизонта. К ним 
приближалась колонна: столб пыли на- 
крыл все пространство с наветренной 
стороны. Скоро они уже слышали шум 
моторов. 

— Интересно, в чью пользу повернет- 
ся сейчас, — спросил Ле Рой, при- 
страивая в руке пистолет, отдав вто- 
рой греку. 

— Адольфа уже нет, — сказал мекси- 
канец. — Хотя, вдруг это кто-нибудь 
другой? 

На этот раз колонна состояла не 
только из бронемашин — были в ее со- 
ставе и несколько тягачей с пушками. 
Головной танк остановился в несколь- 
ких метрах, дыша горячим железом. 

Люк открылся, показался чело- 
век с перепачканным лицом. Он бы- 
стро выскочил на броню, заглянул свы- 
сока в отрытый ров, покачал головой 
и крикнул что-то в шлемофон. 

Похоже, история повторялась. Нес- 
колько бронемашин обогнули колонну и 
приблизились ко рву, вот только помощи 
у рабочих они не попросили — солдаты 
сами быстро перекидали трупы, даже не 
упакованные в мешки, в братскую моги- 
лу и вернулись на свои места. 

— Канадцы есть? — подошел поближе 
офицер из головного танка. 


Ле Рой сделал шаг вперед, сжимая за спиной рукоять пистолета. 

— Чудесно, — похлопал его по плечу танкист. — 

Пойдешь с нами. Работа в этом квадрате закончена. 

То, что эти идиоты считали мелиоративным процессом, подошло 
как нельзя лучше для больших могильников. Ты герой, парень. 
Поедешь с нами. 

— А мы? — спросил грек, шагнув вперед. — Что мы здесь делаем? 
Куда идти нам? И зачем мы копали здесь могилу? 

— Трофей? — улыбнувшись, кивнул в сторону грека танкист. — 
Понимаю. Да ты и сам, наверное, был чьим-то трофеем. Ну да 
ничего, мы поправили это положение. Под городом они подави- 
лись своей собственной костью... Мы положили всю бригаду это- 
го мерзавца Биндермана. Теперь на этом участке фронта мы 
полностью доминируем. 

— Я рад, — мало что понимая, ответил Ле Рой. 

— Мало этому радоваться. Надо вдохнуть воздух свободы полной 
грудью. Иди, займи место в броневике. 

Он повернулся к своему танку и сделал какой-то малопонятный жест. 

Из танка через секунду ударил пулемет. 

Палатку и всех, кто в ней находился, сбросило в ров, поверх 
свежих трупов. Олафсен, грек, Педро — все были убиты. Запах поро- 
ха быстро наполнил все вокруг и так же быстро улетучился на ветру. 
— Они больше не нужны. Они — обуза, — сказал офицер из-за спи- 
ны. — Вперед, парень, война еще не закончилась! 

Ле Рой отвернулся от трупов. Ноги сами понесли его мимо ко- 
лонны в сторону броневиков. 

Вдруг он остановился. Он понял, что все это время ему не да- 
вал покоя один вопрос. 

— Офицер... — решился он. — Ответьте, пожалуйста, если сможете... 
— Что случилось? 

— Вопрос... На него нет ответа... Ведь мы... Я из Канады, Педро 

из Мексики, Киринаикос из Афин... Да и остальные... Как мы понима- 
ли друг друга, на каком языке мы говорили? 

— На русском, — улыбнулся танкист. 

— Почему? — недоуменно спросил Ле Рой. 

— Потому что русификатор очень хороший, — ответил офицер. 
Потом поднял глаза к небу, потянулся с наслаждением: 

— Золотой век продолжается... 

Через несколько минут колонна тронулась дальше, унося с со- 
бой Ле Роя. Сегодня канадцы оказались сильнее. Никто не знал, что 
будет завтра. 

«Цивилизация» всегда была непредсказуема © 
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КОЛОНКА КРИСА КАСПЕРСКИ 


Восточными красавицами нынче 
«болеют» многие. Увлечение вос- 
током — это просто эпидемия ка- 
кая-то. Хакеры, живущие в глуби- 
не норы своего одиночества, отго- 
родившиеся от мира четырьмя 
стенами и уткнувшиеся в монитор, 
обычно испытывают большие 
проблемы даже с обычными де- 
вушками, а уж тем более с азиат- 
ками. Как воплотить эту мечту 

в реальность? 

Магическая притягатель- 
ность узкого разреза глаз на са- 
мом деле обманчива. Обладание 
женщиной — это всегда мираж, 
призрак. Обольстительницы часто 
манят в свои сны сильных богаты- 
рей, но оттуда уже нет возврата. 
Восточные женщины при близком 
рассмотрении совсем не такие, 
как на расстоянии, тем более, 
что среди них всякие встречаются. 
Жить-то (если речь идет о супру- 
жестве) с человеком, с его мента- 
литетом, а не с разрезом! Как гово- 
риться, опыт — это то, что получа- 
ешь, не получив того, что хотел, но 
с другой стороны — если мужчина 
просит руки женщины, значит ему 
надоела своя. Ладно, оставим все 


эти рассуждения в стороне и зай- 
мемся практическими вопросами. 
> — какне стоит знакомиться. 
Жителям больших городов хоро- 
шо — вышел на рынок, там этих 
азиаток... ну просто туева хуча! 
Продают корейскую морковку, 
но по-корейски не знают ни слова, 
потому что все они из XUSSR. Так 
что не помешает предварительно 
выучить хотя бы нескольких слов 
на языке своей мечты (ссылки 
Ha on-line словари приведены во 
врезке), чтобы отличить некачест- 
венную подделку от оригинала. 
То же самое относится к зна- 
комству с проститутками, которые 
якобы из Азии, но на проверку — 
все это грим и косметика. Хотя 
настоящие азиатки среди прости- 
туток все-таки встречаются, одна- 
ко, прежде чем предлагать такой 
руку и сердце, следует основа- 
тельно подумать. Дело даже не 
в венерических болезнях (сейчас 
все лечат, кроме СПИДа, который 
является самым большим загово- 
ром ХХ века) и не в деформиро- 
ванной психике. Часто за прости- 
туткой тянется «хвост» стоящих 
за ней личностей, создающих 
очень большие проблемы. 
Знакомства через интернет- 
службы наподобие love.mail.ru, как 
правило, обнаруживают только 
русских эмигранток. На china.kulich- 
ki.com В OCHOBHOM Обитают самцы, 
а девушки в основном все те же 
иммигрантки, уже замужние или 
достаточно состоятельные для то- 
го, чтобы выбирать не первого по- 
павшегося мужика. Все эти пути 
знакомства с вероятностью, близ- 
кой к единице, обречены на провал. 
> = счего следует начинать зна- 
комство. Достаточно часто прихо- 
дится слышать утверждение, что 
знакомства с иностранками (осо- 
бенно восточными) следует начи- 
нать с изучения истории, ментали- 
тета, обычаев и традиций их стра- 
ны. Какая-то логика в этом есть, 
но... те традиции, что описываются 


в доступной литературе, главным 
образом относятся к ископаемым 
женщинам, а некрофилов среди 
нас, надеюсь, нет. Тем не менее, 
норм приличия и этикета никто не 
отменял, так что знакомство с ни- 
ми просто необходимо. В частнос- 
ти, в ряде районов Индонезии 
(например, в Видтезе) здоровать- 
ся не то чтобы не принято, 

у них просто нет соответствующих 
конструкций в языке, и хотя можно 
сказать что-то вроде «pole tega ki» 
(где же тебя столько носило?), — 
это будет вопрос, предполагаю- 
щий ответ, в то время как 

в английском «how do you do?» 
вовсе не означает, что спрашива- 
ющий всерьез интересуется 
вашими делами. 

Поскольку восточных языков 
очень много, то первым делом 
нужно определиться с кем, 
собственно говоря, мы собираем- 
ся знакомиться. Знать язык своей 
пассии хотя бы на уровне разго- 
ворника для туристов — необхо- 
димо. Также следует свободно 
владеть английским, поскольку 
вероятность встретить русскогово- 
рящую азиатку ничтожно мала. 
> — знакомства — 
рецептурный справочник. 
вариант #1: заходим на бесплат- 
ный сайт международных зна- 
комств, например, РЕМ PALS 
(www.anglik.net/penpals.htm), на КОТО- 
ром достаточно много азиаток. 
Пишем (естественно, на английс- 
ком) письма всем, кого только 
найдем и дальше заводим непри- 
нужденный разговор о прошлогод- 
нем снеге или высоких технологи- 
ях. Предлагать руку и сердце с 
первых строк не стоит. Девушку 
сперва надо очаровать, вырастить 
у нее за спиной крылья, но и тогда 
не стоит рассчитывать, что она 
прилетит к вам, потому что те, кто 
переписываются через интернет, 
как правило, имеют виды на карь- 
еру, живут в комфортабельных 
квартирах, и просто так оставлять 


свою страну не собираются, но 
познакомиться через них с обыч- 
ными девушками, желающими им- 
мигрировать — вполне можно. 
Кстати, то же самое относится 
и к мужчинам. На хакерских фору- 
мах достаточно высокий процент 
азиатских пацаков, с которыми 
можно списаться и подкатить с 
той же просьбой. Иногда их можно 
идентифицировать по мылу (что- 
то Tuna @students.itb.ac.id), но ча- 
ще они используют американские 
ящики и тогда приходится знако- 
мимся со всеми форумовчанами. 
Только на быстрый успех здесь 
лучше не рассчитывать. Азиатс- 
кие парни испытают с девушками 
те же самые проблемы, что и мы. 
вариант #2: на www.oriental.com ИЛИ 
форуме русско-китайской дружбы 
(http:/cpcfriend.com/) достаточно MHO- 
го русскоговорящих восточных 
красавиц. Это просто клад для 
тех, кто не знает ни английского, 
ни китайского, ни японского... сло- 
вом, никаких других языков, кро- 
ме русского. Достаточно многие 
из них уже находятся в России 
или хотят приехать в ближайшее 
время, но, например, не имеют де- 
нег. Аферисток среди них, как ни 
странно, очень мало. Лично я не 
встретил ни одной, хотя встречал- 
ся (за свой счет) со многими, но 
возможно, мне просто до сих пор 
везло, хотя постоянное везение — 
это уже закономерность. 
вариант #3: садимся на самолет 
и летим на отдых в далекую вос- 
точную страну. Со знанием местно- 
го языка найти спутницу 
жизни — плевое дело. Английский 
уже накладывает существенные ог- 
раничения, но шансы по-прежнему 
остаются велики. С одним лишь 
русским поиски пассии рискуют за- 
тянуться на всю оставшуюся жизнь. 
Когда ваши мечты сбывают- 
ся — это хорошо. Плохо — когда 
они сбываются у других. В общем, 
учите мат. часть и удачных вам 
поисков! © 
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